FunctionalHacker/korhonen.cc
FunctionalHacker/korhonen.cc
1
0
Fork 0
Code Issues Pull requests Activity Actions

Firewall post: improve wording
All checks were successful
Build and deploy site / Build and deploy site (push) Successful in 21s
Details

Browse source
This commit is contained in:
Marko Korhonen 2024-06-11 11:34:30 +03:00
parent 7ab7ef90e2
commit 2aa8451b44
Signed by: FunctionalHacker
GPG key ID: A7F78BCB859CD890
2 changed files with 5 additions and 5 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

4
content/posts/firewall_rules_openwrt_ipv6_dynamic_prefix/index.adoc
View file

@ -25,9 +25,9 @@ For a few weeks I got by with manually changing the firewall rules every time th
== Turning off IPv6 SLAAC privacy extensions == Turning off IPv6 SLAAC privacy extensions
While I couldn't have a predictable prefix, I can have a predicatble suffix by turning off the IPv6 SLAAC privacy extensions on my server. This way the suffix (the host part) is derived from the MAC address of the device and it will always stay the same. While I couldn't have a predictable prefix, I can have a predicatble suffix by turning off the IPv6 SLAAC link:https://www.internetsociety.org/resources/deploy360/2014/privacy-extensions-for-ipv6-slaac/[Privacy Extensions] on my server. This way the suffix (the host part) is derived from the MAC address of the device and it will always stay the same.
SLAAC privacy extensions exist for a reason, to increase privacy by generating a random identifier that changes over time. I don't think that is a problem for my server because it is open to the public anyway and the main reason for privacy extensions is so that mobile devices can't be tracked across networks and my server obviously stays in the same network all the time. It's good to acknowledge that this effectively makes your MAC address public, but I don't personally see an obvious risk in that. SLAAC privacy extensions exist for a reason. It increases privacy by generating the host part of the IP randomly and changing the address from time to time. I don't think that is a problem for my server because it is open to the public anyway. The main reason for privacy extensions is so that mobile devices can't be tracked across networks and my server obviously stays in the same network all the time. It's good to acknowledge that this effectively makes your MAC address public, but I don't personally see an obvious risk in that.
I'm using NetworkManager on my server. You can turn off privacy extensions by locating your interface configuration under `/etc/NetworkManager/system-connections/`. For me it was `Wired connection 1.nmconnection`. Add/change the following lines in the `[ipv6]` section: I'm using NetworkManager on my server. You can turn off privacy extensions by locating your interface configuration under `/etc/NetworkManager/system-connections/`. For me it was `Wired connection 1.nmconnection`. Add/change the following lines in the `[ipv6]` section:

6
content/posts/firewall_rules_openwrt_ipv6_dynamic_prefix/index.fi.adoc
View file

@ -23,11 +23,11 @@ Prefix delegoinnin puute tarkoittaa, että minun on asetettava RA ja NDP relay t
Muutaman viikon ajan selvisin manuaalisesti muuttamalla palomuurisääntöjä aina, kun prefix muuttui, mutta se ei ollut riittävän hyvä ratkaisu pitkässä juoksussa, koska minulla on paljon palomuurisääntöjä. Muutaman viikon ajan selvisin manuaalisesti muuttamalla palomuurisääntöjä aina, kun prefix muuttui, mutta se ei ollut riittävän hyvä ratkaisu pitkässä juoksussa, koska minulla on paljon palomuurisääntöjä.
== IPv6 SLAAC:n yksityisyyden laajennusten poistaminen käytöstä == IPv6 SLAAC privacy extension käytöstä poistaminen
Vaikka en saa ennustettavaa prefixiä, voin saada ennustettavan suffixin poistamalla käytöstä IPv6 SLAAC:n yksityisyyden laajennukset käytöstä palvelimellani. Näin suffix (host osa) johdetaan laitteen MAC-osoitteesta ja se pysyy aina samana. Vaikka en saa ennustettavaa prefixiä, voin saada ennustettavan suffixin poistamalla käytöstä IPv6 SLAAC:n link:https://www.internetsociety.org/resources/deploy360/2014/privacy-extensions-for-ipv6-slaac/[Privacy Extensions]. Näin suffix (host osa) johdetaan laitteen MAC-osoitteesta ja se pysyy aina samana.
SLAAC:n yksityisyyden laajennukset ovat olemassa syystä, lisäämään yksityisyyttä generoimalla satunnainen tunniste, joka muuttuu ajan myötä. En usko, että tämä on ongelma palvelimelleni, koska se on joka tapauksessa avoin julkisuudelle ja yksityisyyden laajennusten pääasiallinen syy on se, että mobiililaitteita ei voida seurata verkkojen välillä ja palvelimeni pysyy luonnollisesti aina samassa verkossa. On hyvä tiedostaa, että tämä käytännössä tekee MAC-osoitteestasi julkisen, mutta en henkilökohtaisesti näe siinä ilmeistä riskiä. Privacy Extensions on olemassa syystä. Se lisää yksityisyyttä generoimalla osoitteen host osan satunnaisesti ja vaihtamalla osoitetta aika-ajoin. En usko, että tämä on ongelma palvelimellani, koska se on joka tapauksessa avoin julkiverkkoon. Privacy Extensionsin pääasiallinen tarkoitus on se, että mobiililaitteita ei voida seurata verkkojen välillä ja palvelimeni pysyy luonnollisesti aina samassa verkossa. On hyvä tiedostaa, että tämä käytännössä tekee MAC-osoitteestasi julkisen, mutta en henkilökohtaisesti näe siinä ilmeistä riskiä.
Käytän NetworkManageria palvelimellani. Voit poistaa yksityisyyden laajennukset käytöstä etsimällä verkkoyhteytesi asetukset hakemistosta `/etc/NetworkManager/system-connections/`. Omalla palvelimellani se oli `Wired connection 1.nmconnection`. Lisää/muuta seuraavat rivit `[ipv6]`-osioon: Käytän NetworkManageria palvelimellani. Voit poistaa yksityisyyden laajennukset käytöstä etsimällä verkkoyhteytesi asetukset hakemistosta `/etc/NetworkManager/system-connections/`. Omalla palvelimellani se oli `Wired connection 1.nmconnection`. Lisää/muuta seuraavat rivit `[ipv6]`-osioon: