Skip to main content

Ik heb bij een kennis een systeempje staan met Linux achter een experiabox via port forwarding met IPv4. Tot voor een week kon ik daar op binnenkomen via ssh via een niet-standaard publieke poort. Vandaag heb ik met hem het probleem bekeken en als omweg ook geprobeerd via IPv6 binnen te komen. Alles op de experiabox lijkt in orde, maar er is geen verbinding mogelijk. Dit probleem zal ik aankaarten via de telefoon bij de helpdesk.

Ik heb ook toegang tot een soortgelijke experiabox met systeempje en daar ook IPv6 forwarding ingeschakeld. Ik kan zowel via IPv4 als IPv6 binnenkomen. Merkwaardig is dat bij IPv6 een Application Configuration met publieke poort anders dan de interne poort gedefinieerd kan worden, maar dat via die publieke poort, zeg 50, verwijzend naar 22 (ssh) van het systeempje geen verbinding gemaakt kan worden. Gewoon direct naar 22 werkt wel via IPv6.

Het lijkt er dus op dat IPv6 forwarding het hele systeem, waar naar verwezen wordt, wordt open gesteld. Klopt dit? Zo niet wat doet die Application Configuration dan?

Admin: Titel aangevuld i.v.m. vindbaarheid

Heb je een Experiabox V10? Als dat zo is: Ik heb het niet helemaal kunnen testen, omdat ik via een tunnel naar buiten moet om vervolgens via KPN weer naar binnen te komen, maar eerste indruk is dat het best zou kunnen dat je wat IPv6 betreft gelijk hebt, en dat de eerste twee velden genegeerd worden. Poort  N-N naar poort 22-22  zet dus niet poort N, maar 22 open.


Het is een 10 of 10A. Dank voor je antwoord. Dat zou wat ongerustheid bij mij wegnemen over een mogelijke geheel blootstellen van het systeem achter het modem via IPv6.


Overigens is het onbereikbare systeem na uit en aanzetten van het modem weer bereikbaar.


Bevestigd. Op de V10 (H369) kan een reeks IPv6 poorten opengezet worden via het derde en vierde veld in de applicatie configuratie, de eerste twee velden lijken genegeerd te worden. Een bug in de firmware. Dat wordt dus portmappen op het Linux systeem of een tweede sshd opstarten. 


De forwarding van de externe, niet standaard poort, naar de interne, standaard poort, is bedoeld als een kleine extra beveiliging. Het is dan wat moeilijker voor een hacker deze poort te vinden. In dit geval moet de interne poort dan op een niet standaard waarde opgestart worden.