Idee für Firewall Regeln sollen IPV6 ID filtern

[the other]

Moinsen,

Das stimmt natürlich. Aber die Angreifer hätten dann Zugang zu meinem lokalen Netzwerk.

Über den VPN Tunnel? Naja, hier natürlich auch gute Sicherheitsstandards setzen (und einhalten!) > langes, komplexes, einmaliges Passwort oder auch hier (je nach vorhandener Technik) Anmeldung via Zertifikat oder auch mit 2FA.
Hattest du nicht in einem anderen Post (hier https://forum.heimnetz.de/threads/umstellung-von-ipv4-auf-ipv6.4236/page-2#post-44293) noch vor, diverse Ports freizugeben bzw. via Reverse Proxy anzubieten? Dagegen schätze ich persönlich die Sicherheit eines (geschützten) VPN Zuganges doch etwas höher ein. Möglichkeiten gibt es da viele...

 

[blurrrr]

Gibt es denn die Möglichkeit die MAC-Adresse anzugeben?

Dürfte dann wohl wie folgt sein:'

-m mac --mac-source XX:XX:XX:XX:XX:XX:XX:XX

Kannst Du aber auch nachlesen unter: man iptables:

mac

--mac-source [!] addressMatch source MAC address. It must be of the form XX:XX:XX:XX:XX:XX. Note that this only makes sense for packets coming from an Ethernet device and enteringthe PREROUTING, FORWARD or INPUT chains.

Funktioniert allerdings nur innerhalb einer Broadcast-Domäne, alles was über Layer3 läuft (z.B. über einen Router) kannst Du damit nicht filtern. Salopp gesagt: Es funktioniert nur innerhalb eines Netzes.

Irgendeine Identifikationsmöglichkeit, die dem VPN stand hält?

Was genau meinst Du damit? Du kannst VPN-Anmeldungen auch über Zertifikate, Radius, 2FA, usw. absichern. Frage ist halt, wie weit Du es treiben möchtest. Eine Fritzbox ist da allerdings recht beschränkt in den Möglichkeiten - ist halt kein Enterprise-Produkt. Das Ding ist halt: IPSec ist "Standard" und wird z.B. von der Fritzbox, als auch von großen Konzernen genutzt. Da hast Du schon zum einen die User-Credentials, als auch das shared Secret. "On top" kommt dann noch die Authentifizierung am SSH-Dienst via Key. Ein Angreifer würde hier schon Zugriff auf 5 (ggf. 6) verschiedene Informationen benötigen (VPN: Benutzername + Benutzerpasswort + shared Secret, SSH: Benutzername + Key (+ ggf. Passwort)). Wobei das Passwort bei SSH-Verbindungen via Key oftmals ohne Passwort genutzt wird, damit sich solche automatisierten Prozesse entsprechend umsetzen lassen. Ein Passwort will man diesbezüglich ja auch nirgendwo im Klartext stehen haben.