Während IPv4 durch NAT strukturell geschützt ist, ist IPv6 ohne Firewall immer global erreichbar – ganz ohne Portfreigaben. Genau deshalb ist eine IPv6-Firewall kein „nice to have“, sondern Pflicht.
IPv6: globale Reichweite absichern und ICMPv6 erlauben
Überraschend war für mich, dass mein Raspberry Pi sofort eine globale IPv6-Adresse erhalten hat. Das bedeutet: er ist ohne NAT von außen erreichbar. Ohne ip6tables sind damit alle IPv6-Dienste offen – oft ohne dass man es bemerkt.
Die Lösung ist eine IPv6-Firewall analog zur IPv4-Konfiguration, aber mit einem wichtigen Unterschied: ICMPv6 sollte eher nicht blockiert werden, da sonst Funktionen wie Neighbor Discovery, Router Advertisements oder MTU-Erkennung nicht mehr zuverlässig funktionieren.
Meine IPv6-Konfiguration – (XXXX bei SSH ist durch euren SSH-Port zu ersetzen!):
# Loopback erlauben
sudo ip6tables -A INPUT -i lo -j ACCEPT
# Etablierte Verbindungen erlauben
sudo ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# SSH erlauben (Port anpassen)
sudo ip6tables -A INPUT -p tcp --dport XXXX -j ACCEPT
# ICMPv6 unbedingt erlauben
sudo ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
# Rate-Limiting für HTTP
sudo ip6tables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW \
-m limit --limit 25/minute --limit-burst 100 -j ACCEPT
sudo ip6tables -A INPUT -p tcp --dport 80 -j DROP
# Rate-Limiting für HTTPS
sudo ip6tables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW \
-m limit --limit 50/minute --limit-burst 200 -j ACCEPT
sudo ip6tables -A INPUT -p tcp --dport 443 -j DROP
# Standard-Policy setzen
sudo ip6tables -P INPUT DROP
sudo ip6tables -P FORWARD DROP
sudo ip6tables -P OUTPUT ACCEPT
Regeln speichern:
sudo sh -c "ip6tables-save > /etc/iptables/rules.v6" sudo netfilter-persistent save
Damit ist der Raspberry Pi sowohl unter IPv4 als auch IPv6 abgesichert. Ports 80 und 443 bleiben erreichbar, Let’s Encrypt funktioniert weiterhin problemlos und ICMPv6 sorgt dafür, dass das IPv6-Netzwerk stabil bleibt.