Content Filter IPv4 und IPv6

Fragen zur LANCOM Software-Optionen: Freischaltung, Aktivierung ...

Moderator: Lancom-Systems Moderatoren

Antworten
Andyet
Beiträge: 15
Registriert: 09 Feb 2017, 19:48

Content Filter IPv4 und IPv6

Beitrag von Andyet »

Hallo zusammen,

Kann es sein, das der Content Filter nur bei IPv4 greift, da ich ja auch nur in der IPv4 Firewall die Regel hinterlege.
Ich hatte zwei URLs auf der Blacklist, die eine Seite war nicht erreichbar, weil sie zu einer IPv4 Adresse aufgelöst wird, die andere war noch erreichbar, weil IPv6.

Kann ich den Content Filter auch auf IPv6 ausweiten?

Viele Grüsse Andy


Gesendet von iPad mit Tapatalk
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Content Filter IPv4 und IPv6

Beitrag von Jirka »

Hallo,

IPv6 soll ab 10.12 gehen (ich habe es noch nicht getestet). Welche Firmware verwendest Du denn? Ich habe bei den Routern mit Content-Filter die 9.24 und IPv6 abgeschaltet, dann geht es über IPv4.

Viele Grüße,
Jirka
Andyet
Beiträge: 15
Registriert: 09 Feb 2017, 19:48

Re: Content Filter IPv4 und IPv6

Beitrag von Andyet »

Hi,

Ich hab die 10.12.0147 drauf.
Muss ich noch etwas zusätzlich konfigurieren?

Viele Grüsse Andy


Gesendet von iPad mit Tapatalk
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Content Filter IPv4 und IPv6

Beitrag von Jirka »

Hallo,

na hast Du denn eine IPv6-Forwarding-Regel erstellt? Die erstellt sich nicht von alleine...

Viele Grüße,
Jirka
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Content Filter IPv4 und IPv6

Beitrag von backslash »

Hi Andyet,
Muss ich noch etwas zusätzlich konfigurieren?
ja, natürlich eine Regel, die eine Kontentfilter-Aktion verwendet. Ich weiss jetzt nicht, ob es da einen Konfig-Konverter gibt, der die Regel automatisch hinzufügt...
Wenn du bisher nur die vordefinierten Aktionen in der IPv6-Firewall verwenet hast, dann kannst du im CLI unter /Setup/IPv6/Firewall/Actions einfach "default" eingeben und es tauchen die neuen Kontentfilter-Aktionen auf.

Wenn du sie von Hand eintragen willst, lade einfach dieses Script hoch:

Code: Alles auswählen

lang English
flash No

cd /Setup/IPv6/Firewall/Actions
tab  Name                                Limit Unit      Time      Context  Flags   Action   Content-Filter                   DiffServ  DSCP-value     Conditions  actions
add  "CONTENT-FILTER-BASIC"              0     packets   absolute  session  none    check    "CF-BASIC-PROFILE"               No        0              ""          ""
add  "CONTENT-FILTER-PARENTIAL-CONTROL"  0     packets   absolute  session  none    check    "CF-PARENTIAL-CONTROL-PROFILE"   No        0              ""          ""
add  "CONTENT-FILTER-WORK"               0     packets   absolute  session  none    check    "CF-WORK-PROFILE"                No        0              ""          ""
cd /
flash Yes

# done
exit
dann brauchst du nur noch eine Forwarding-Regel, die eine der Aktionen verwendet - entsprechend der Regel in der IPv4-Firewall:

Code: Alles auswählen

lang English
flash No

cd /Setup/IPv6/Firewall/Forwarding-Rules
tab  Name                Action                  Services   Source-Stations  Destination-Stations  Flags   Prio  Src-Tag    Rtg-tag  Comment
add  "CONTENT-FILTER"    "CONTENT-FILTER-BASIC"  "ANY"      "ANYHOST"        "ANYHOST"             linked  9999  0          0        "pass web traffic to Content-Filter"
cd /
flash Yes

# done
exit

Gruß
Backslash
Andyet
Beiträge: 15
Registriert: 09 Feb 2017, 19:48

Re: Content Filter IPv4 und IPv6

Beitrag von Andyet »

Naja, ich hab damit ein bisschen probiert. Allerdings frage ich mich, wie ich die Anfragen (http und https) an den Content Filter schicke. Bei ipv4 gibt es ein eigenes Feld fürs die Auswahl des Filters.


Gesendet von iPhone mit Tapatalk
Andyet
Beiträge: 15
Registriert: 09 Feb 2017, 19:48

Re: Content Filter IPv4 und IPv6

Beitrag von Andyet »

Zu langsam :-). Danke backslash, probiere ich gleich aus.


Gesendet von iPad mit Tapatalk
Andyet
Beiträge: 15
Registriert: 09 Feb 2017, 19:48

Re: Content Filter IPv4 und IPv6

Beitrag von Andyet »

Das ist so natürlich einfacher, ich hatte in LanConfig versucht und da irgendwie den Content-Filter nicht gefunden.
Noch eine kurze Verständnisfrage, du schickst im zweite Code jeden IPv6 Traffic von jedem Client durch den Content Filter, richtig?
Ich wollte das auf WEB beschränken und eigentlich auch nur auf einige Clients. Bei IPv4 habe ich das an den MAC Adressen festgemacht und ein entsprechendes Stations-Objekt angelegt. MAC Adresse Beschränkung finde ich bei IPv6 jetzt nicht. Geht aber doch auch bestimmt :-)

vg
Andy
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Content Filter IPv4 und IPv6

Beitrag von backslash »

Hi Andyet,
Noch eine kurze Verständnisfrage, du schickst im zweite Code jeden IPv6 Traffic von jedem Client durch den Content Filter, richtig? Ich wollte das auf WEB beschränken
ja, natürlich ist "WEB" als Dienst sinnvoller als "ANY"...
und eigentlich auch nur auf einige Clients. Bei IPv4 habe ich das an den MAC Adressen festgemacht und ein entsprechendes Stations-Objekt angelegt. MAC Adresse Beschränkung finde ich bei IPv6 jetzt nicht. Geht aber doch auch bestimmt
nicht direkt... Aber solange auf du deinen Rechnern keine privacy-extensions laufen läßt, bilden sie den Identifier ihrer IPv6-Adresse aus ihrer MAC-Adresse. Du mu0t also die Recher in die Stations-Objekte aufnehmen und als Typ "Host-Identifier" wählen. Dann kannst du optional angeben in wlechem Netzwerk (z.B. INTRANET) das Staionsobjekt gültig sein soll. Als letztes gibst du den Identifier an, der bildet sich aus der MAC-Adrsse wie folgt (siehe https://de.wikipedia.org/wiki/EUI-64):
  • nimm die ersten 3 Bytes der MAC-Adresse,
  • hänge zwei Bytes 0xff und 0xfe an,
  • hänge und danach die leztzen 3 Bytes der MAC-Adresse an
  • dann invertiere im ersten Byte das Bit 1 (also Byte1 XOR 2 - Informatiker zählen von hinten nach vorne und beginnen bei 0)
  • und schreib das Ergebnis als IPv6-Adresse hin (vergiss dabei nicht die führende ::).
Somit wird aus der MAC-Adresse 00:01:02:03:04:05 der IPv6-Identifier ::0201:02ff:fe03:0405

Als Script im CLI:

Code: Alles auswählen

lang English
flash No

cd /Setup/IPv6/Firewall/Stations
tab  Name             Type           Local-network     Remote-peer/local-host  Address/Prefix                   
add  "HOSTBYMAC"      Identifier     "INTRANET"        ""                      "::0201:02ff:fe03:0405"
cd /
flash Yes

# done
exit
Anders als in der IPV4-Firewall kannst du keine Adreßlisten eingeben, d.h. du mußt für jeden Rechner ein eigenes Objekt anlegen. Die Objekte kannst du dann in der Stations-Liste (/Setup/IPv6/Firewall/Station-list) zusammenfassen

Gruß
Backslash
Andyet
Beiträge: 15
Registriert: 09 Feb 2017, 19:48

Re: Content Filter IPv4 und IPv6

Beitrag von Andyet »

Hi backslash,
Danke für die ausführliche Antwort. Ich hatte jetzt schon mit der IPv6 IP Adresse des Rechners gearbeitet, aber die ändert sich natürlich ab und zu. Da ist deine Lösung natürlich besser. Werde ich testen :-)
Aber ich seh schon, IPv6 wird noch viel Arbeit machen. Viele Grüsse Andy


Gesendet von iPad mit Tapatalk
Antworten