이제 네트워크에 IPv6 연결이 설정되었으므로 IOS용 기본 IPv6 방화벽 구성을 찾고 있습니다.
예전에는 NAT를 사용하여 내부(읽기: 나가는 연결만 해당) 시스템을 '숨길 수 있었지만 다행히 더 이상 NAT가 대신 작업을 수행할 수 없습니다.
소규모 내부 네트워크에 적합한 IOS 구성/ACL 세트는 무엇입니까?
답변1
제가 생각해낸 내용은 다음과 같습니다. 작동하지만 최적인지는 확실하지 않습니다. 제안을 환영합니다!
interface IncomingTunnel0
ipv6 traffic-filter exterior-in6 in
ipv6 traffic-filter exterior-out6 out
interface LocalLan0
ipv6 traffic-filter interior-in6 in
ipv6 traffic-filter interior-out6 out
ipv6 access-list exterior-in6
evaluate exterior-reflect sequence 1
permit ipv6 any host EXTERNAL_ROUTER_ADDRESS sequence 10
permit tcp any host INTERNAL_ROUTER_ADDRESS eq 22 sequence 11
permit tcp any host INTERNAL_SERVER_ADDRESS eq 22 sequence 100
permit icmp any any sequence 800
deny ipv6 any any sequence 1000
ipv6 access-list exterior-out6
sequence 10 permit ipv6 MY_ASSIGNED_SUBNET::/48 any reflect exterior-reflect
ipv6 access-list interior-in6
permit ipv6 fe80::/10 any
permit ipv6 INTERNAL_LAN_SUBNET::/64 any
ipv6 access-list interior-out6
permit ipv6 any any
재귀 액세스 목록에 익숙하지 않은 분들을 위해 설명하자면 이것이 상태 저장 연결 추적을 수행하는 방법입니다. 즉, 나가는 연결에 대한 응답이 다시 당신에게 돌아올 수 있도록 하는 것입니다.
답변2
재귀적 액세스 목록 대신 검사를 사용하는 것이 좋습니다. 예:
ipv6 inspect name IPV6FIREWALLINSPECT tcp
ipv6 inspect name IPV6FIREWALLINSPECT udp
ipv6 inspect name IPV6FIREWALLINSPECT icmp
int IncomingTunnel0
ipv6 inspect IPV6FIREWALLINSPECT out
ipv6 traffic-filter IPV6FIREWALL in
ipv6 access-list IPV6FIREWALL
sequence 10 permit (explicit inbound traffic)
sequence 20 deny ipv6 any any
훨씬 깔끔한 구성. sho ipv6 검사 세션은 반환 트래픽이 허용되는 모든 아웃바운드 세션을 표시합니다.