现在,我已经连接到我的networking,我正在寻找IOS的基本IPv6防火墙configuration。
它曾经是我们可以依赖NAT来“隐藏”内部(只读:外出连接)机器,但幸好我们不再有NAT来为我们做这项工作。
小型内部networking的一组合理的IOSconfiguration/ ACL是什么?
这是我想出来的。 它的工作,虽然我不知道是否是最佳的。 build议欢迎!
interface IncomingTunnel0 ipv6 traffic-filter exterior-in6 in ipv6 traffic-filter exterior-out6 out interface LocalLan0 ipv6 traffic-filter interior-in6 in ipv6 traffic-filter interior-out6 out ipv6 access-list exterior-in6 evaluate exterior-reflect sequence 1 permit ipv6 any host EXTERNAL_ROUTER_ADDRESS sequence 10 permit tcp any host INTERNAL_ROUTER_ADDRESS eq 22 sequence 11 permit tcp any host INTERNAL_SERVER_ADDRESS eq 22 sequence 100 permit icmp any any sequence 800 deny ipv6 any any sequence 1000 ipv6 access-list exterior-out6 sequence 10 permit ipv6 MY_ASSIGNED_SUBNET::/48 any reflect exterior-reflect ipv6 access-list interior-in6 permit ipv6 fe80::/10 any permit ipv6 INTERNAL_LAN_SUBNET::/64 any ipv6 access-list interior-out6 permit ipv6 any any 对于那些不熟悉反身式访问列表的人来说,这是如何进行有状态连接跟踪的。 换句话说,就是允许对这些传出连接的响应回复给你。
我真的build议使用检查,而不是反身访问列表 – 例如:
ipv6 inspect name IPV6FIREWALLINSPECT tcp ipv6 inspect name IPV6FIREWALLINSPECT udp ipv6 inspect name IPV6FIREWALLINSPECT icmp int IncomingTunnel0 ipv6 inspect IPV6FIREWALLINSPECT out ipv6 traffic-filter IPV6FIREWALL in ipv6 access-list IPV6FIREWALL sequence 10 permit (explicit inbound traffic) sequence 20 deny ipv6 any any
更清洁的configuration。 sho ipv6 inspect会话将显示所有允许返回stream量的出站会话。