classic.ISPforum.cz

Náhodou, nebádal jste někdo nad důkladným filtrováním propouštěného ICMPv6 v IPv6? řekněme konfigurace, kde je jen jedne WAN a jeden LAN, žádné tunely a smyčky se do toho nepletou, Ven může vše, dovnitř jen odpovědi plus možnost IPSec, MIPv6 a podobné. Žádné jen input/forward related/established, ale profiltrovávat důkladně kódy, subkódy, povolené komobinace adres, hopů v závusislosti na tom, o co přesně jde. Čili ekvivalent toho, co poctivě napsáo pro ICMPv4/IPv4 je asi na samostatných cca 150 pravidel firewallu, ale pro IPv6. Ještě nedávno to nešlo v ROSu ani pořádně a korektně filtrovat, zdá se, že už by to mohlo jít.
Dostal jsem auditorský pojeb za nedostatečnost u ICMPv6 ve firewallu.

Tj. otázka zní, jestli někdo má nastavené filtrování podle RFC4890, pokud to na RouterOSu vůbec nastavit lze?

V podstatě ano. Krom toho prvního RFC4890 je pár upřesnění v RFC6092 pro end site routery a pak to vypadá na další RFC, které to dává dohromady pro ICMPv4 i v6. Draft je zde: https://tools.ietf.org/html/draft-ietf- ... ltering-04
A ano, už to jde konečně i do ROSu namlátit korektně (pokud nepočítám, že pár věcí se nechytá úplně přesně na stavový firewall v related).