Cisco
適用於小型網路的 Cisco IOS 上的基本 IPv6 防火牆
現在我的網路已經有了 IPv6 連接,我正在為 IOS 尋找基本的 IPv6 防火牆配置。
過去我們可以依靠 NAT 來“隱藏”內部(閱讀:僅限傳出連接)機器,但幸運的是我們不再有 NAT 來為我們完成這項工作。
什麼是小型內部網路的合理 IOS 配置/ACL 集?
這就是我想出的。它有效,但我不確定它是否是最佳的。歡迎提出建議!
interface IncomingTunnel0 ipv6 traffic-filter exterior-in6 in ipv6 traffic-filter exterior-out6 out interface LocalLan0 ipv6 traffic-filter interior-in6 in ipv6 traffic-filter interior-out6 out ipv6 access-list exterior-in6 evaluate exterior-reflect sequence 1 permit ipv6 any host EXTERNAL_ROUTER_ADDRESS sequence 10 permit tcp any host INTERNAL_ROUTER_ADDRESS eq 22 sequence 11 permit tcp any host INTERNAL_SERVER_ADDRESS eq 22 sequence 100 permit icmp any any sequence 800 deny ipv6 any any sequence 1000 ipv6 access-list exterior-out6 sequence 10 permit ipv6 MY_ASSIGNED_SUBNET::/48 any reflect exterior-reflect ipv6 access-list interior-in6 permit ipv6 fe80::/10 any permit ipv6 INTERNAL_LAN_SUBNET::/64 any ipv6 access-list interior-out6 permit ipv6 any any
對於那些不熟悉自反訪問列表的人來說,這是您進行狀態連接跟踪的方式。換句話說,它允許對那些傳出連接的響應返回給您。