Cisco

適用於小型網路的 Cisco IOS 上的基本 IPv6 防火牆

  • March 6, 2014

現在我的網路已經有了 IPv6 連接,我正在為 IOS 尋找基本的 IPv6 防火牆配置。

過去我們可以依靠 NAT 來“隱藏”內部(閱讀:僅限傳出連接)機器,但幸運的是我們不再有 NAT 來為我們完成這項工作。

什麼是小型內部網路的合理 IOS 配置/ACL 集?

這就是我想出的。它有效,但我不確定它是否是最佳的。歡迎提出建議!

interface IncomingTunnel0
ipv6 traffic-filter exterior-in6 in
ipv6 traffic-filter exterior-out6 out

interface LocalLan0
ipv6 traffic-filter interior-in6 in
ipv6 traffic-filter interior-out6 out

ipv6 access-list exterior-in6
evaluate exterior-reflect sequence 1
permit ipv6 any host EXTERNAL_ROUTER_ADDRESS sequence 10
permit tcp any host INTERNAL_ROUTER_ADDRESS eq 22 sequence 11
permit tcp any host INTERNAL_SERVER_ADDRESS eq 22 sequence 100
permit icmp any any sequence 800
deny ipv6 any any sequence 1000

ipv6 access-list exterior-out6
sequence 10 permit ipv6 MY_ASSIGNED_SUBNET::/48 any reflect exterior-reflect

ipv6 access-list interior-in6
permit ipv6 fe80::/10 any
permit ipv6 INTERNAL_LAN_SUBNET::/64 any

ipv6 access-list interior-out6
permit ipv6 any any

對於那些不熟悉自反訪問列表的人來說,這是您進行狀態連接跟踪的方式。換句話說,它允許對那些傳出連接的響應返回給您。

引用自:https://serverfault.com/questions/114864