Dostal jsem auditorský pojeb za nedostatečnost u ICMPv6 ve firewallu.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
IPv6 firewall ICMPv6
IPv6 firewall ICMPv6
Náhodou, nebádal jste někdo nad důkladným filtrováním propouštěného ICMPv6 v IPv6? řekněme konfigurace, kde je jen jedne WAN a jeden LAN, žádné tunely a smyčky se do toho nepletou, Ven může vše, dovnitř jen odpovědi plus možnost IPSec, MIPv6 a podobné. Žádné jen input/forward related/established, ale profiltrovávat důkladně kódy, subkódy, povolené komobinace adres, hopů v závusislosti na tom, o co přesně jde. Čili ekvivalent toho, co poctivě napsáo pro ICMPv4/IPv4 je asi na samostatných cca 150 pravidel firewallu, ale pro IPv6. Ještě nedávno to nešlo v ROSu ani pořádně a korektně filtrovat, zdá se, že už by to mohlo jít.
Dostal jsem auditorský pojeb za nedostatečnost u ICMPv6 ve firewallu.
Dostal jsem auditorský pojeb za nedostatečnost u ICMPv6 ve firewallu.
0 x
Tj. otázka zní, jestli někdo má nastavené filtrování podle RFC4890, pokud to na RouterOSu vůbec nastavit lze?
0 x
V podstatě ano. Krom toho prvního RFC4890 je pár upřesnění v RFC6092 pro end site routery a pak to vypadá na další RFC, které to dává dohromady pro ICMPv4 i v6. Draft je zde: https://tools.ietf.org/html/draft-ietf- ... ltering-04
A ano, už to jde konečně i do ROSu namlátit korektně (pokud nepočítám, že pár věcí se nechytá úplně přesně na stavový firewall v related).
A ano, už to jde konečně i do ROSu namlátit korektně (pokud nepočítám, že pár věcí se nechytá úplně přesně na stavový firewall v related).
0 x