現在我的網路已透過 IPv6 連接,我正在尋找適用於 IOS 的基本 IPv6 防火牆設定。
過去,我們可以依靠 NAT 來「隱藏」內部(即僅傳出連接)計算機,但幸運的是,我們不再有 NAT 來為我們完成這項工作。
對於小型內部網路來說,一組合理的 IOS 配置/ACL 是什麼?
答案1
這是我的想法。它有效,但我不確定它是否是最佳的。歡迎提出建議!
interface IncomingTunnel0
ipv6 traffic-filter exterior-in6 in
ipv6 traffic-filter exterior-out6 out
interface LocalLan0
ipv6 traffic-filter interior-in6 in
ipv6 traffic-filter interior-out6 out
ipv6 access-list exterior-in6
evaluate exterior-reflect sequence 1
permit ipv6 any host EXTERNAL_ROUTER_ADDRESS sequence 10
permit tcp any host INTERNAL_ROUTER_ADDRESS eq 22 sequence 11
permit tcp any host INTERNAL_SERVER_ADDRESS eq 22 sequence 100
permit icmp any any sequence 800
deny ipv6 any any sequence 1000
ipv6 access-list exterior-out6
sequence 10 permit ipv6 MY_ASSIGNED_SUBNET::/48 any reflect exterior-reflect
ipv6 access-list interior-in6
permit ipv6 fe80::/10 any
permit ipv6 INTERNAL_LAN_SUBNET::/64 any
ipv6 access-list interior-out6
permit ipv6 any any
對於那些不熟悉自反訪問清單的人來說,這就是進行狀態連接追蹤的方式。換句話說,它允許對這些傳出連結的回應回饋給您。
答案2
我真的建議使用檢查而不是反射存取清單 - 例如:
ipv6 inspect name IPV6FIREWALLINSPECT tcp
ipv6 inspect name IPV6FIREWALLINSPECT udp
ipv6 inspect name IPV6FIREWALLINSPECT icmp
int IncomingTunnel0
ipv6 inspect IPV6FIREWALLINSPECT out
ipv6 traffic-filter IPV6FIREWALL in
ipv6 access-list IPV6FIREWALL
sequence 10 permit (explicit inbound traffic)
sequence 20 deny ipv6 any any
更乾淨的配置。 sho ipv6 Inspect session 將顯示允許回傳流量的所有出站會話。