现在我的网络已经有了 IPv6 连接,我正在为 IOS 寻找基本的 IPv6 防火墙配置。
过去,我们可以依靠 NAT 来“隐藏”内部(只读:仅传出连接)机器,但幸运的是,我们不再有 NAT 为我们做这些工作。
对于小型内部网络,什么是合理的 IOS 配置/ACL 集?
这是我想出的。它有效,但我不确定它是否最佳。欢迎提出建议!
interface IncomingTunnel0
ipv6 traffic-filter exterior-in6 in
ipv6 traffic-filter exterior-out6 out
interface LocalLan0
ipv6 traffic-filter interior-in6 in
ipv6 traffic-filter interior-out6 out
ipv6 access-list exterior-in6
evaluate exterior-reflect sequence 1
permit ipv6 any host EXTERNAL_ROUTER_ADDRESS sequence 10
permit tcp any host INTERNAL_ROUTER_ADDRESS eq 22 sequence 11
permit tcp any host INTERNAL_SERVER_ADDRESS eq 22 sequence 100
permit icmp any any sequence 800
deny ipv6 any any sequence 1000
ipv6 access-list exterior-out6
sequence 10 permit ipv6 MY_ASSIGNED_SUBNET::/48 any reflect exterior-reflect
ipv6 access-list interior-in6
permit ipv6 fe80::/10 any
permit ipv6 INTERNAL_LAN_SUBNET::/64 any
ipv6 access-list interior-out6
permit ipv6 any any
对于那些不熟悉自反访问列表的人,这就是您进行有状态连接跟踪的方式。换句话说,它允许对那些传出连接的响应返回给您。
| 归档时间: |
|
| 查看次数: |
2083 次 |
| 最近记录: |