とりあえず作ってみたブログ

<< 立て込んできました | main | ちょっとだけピロピロのコンテスト >>

IXルーターのIPv6ブリッジ設定 その2

190831_router

 少し前のこちらの続きです。この時の設定だと、IPv6は単なるブリッジ接続なので、ネット側から丸見え状態です。個々の端末のセキュリティ能力次第・・・IPアドレスが判れば、共有フォルダが外から見えてしまうので、やはりよろしくない。ってことで、数日前にIPv6のブリッジ設定を解除していました。

 ブリッジに最低限、外から始まる通信は遮断、というフィルターを追加しておけば、IPアドレスが判ってもPCへのアクセスはできないからセキュリティは保てるはず。

 設定事例集内にあるIPv6→PPPoEネットアクセス例や、公式WEBサイトの技術情報内のIPv6でのDHCP-PDの場合の設定例などで紹介されているIPv6動的フィルターの設定を流用します。

ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list dynamic dflt-list access permit-list

FE0/0へ上記条件でのフィルターをbridgeへ適用させます。

interface FastEthernet0/0.0
bridge-group 1
bridge ipv6 filter dhcpv6-list 1 in
bridge ipv6 filter icmpv6-list 2 in
bridge ipv6 filter block-list 100 in
bridge ipv6 filter dhcpv6-list 1 out
bridge ipv6 filter icmpv6-list 2 out
bridge ipv6 filter dflt-list 100 out

こんな感じです。(ほかの設定もあるけど省略)

 テストは、IPv6対応のポートスキャンを利用して状態確認しています。(こちらとかこちら

190925_port

 これがあるPCのポートスキャン結果。もともと、セキュリティソフトが入っているので、ある程度はふさがっているはず。ファイル共用関連の135や139、445が隠れているか?、といったところで見極めることになると思います。
comments (0) | trackbacks (0)

Comments

Comment Form

Trackbacks