少し前の
こちらの続きです。この時の設定だと、IPv6は単なるブリッジ接続なので、ネット側から丸見え状態です。個々の端末のセキュリティ能力次第・・・IPアドレスが判れば、共有フォルダが外から見えてしまうので、やはりよろしくない。ってことで、数日前にIPv6のブリッジ設定を解除していました。
ブリッジに最低限、外から始まる通信は遮断、というフィルターを追加しておけば、IPアドレスが判ってもPCへのアクセスはできないからセキュリティは保てるはず。
設定事例集内にあるIPv6→PPPoEネットアクセス例や、公式WEBサイトの技術情報内の
IPv6でのDHCP-PDの場合の設定例などで紹介されているIPv6動的フィルターの設定を流用します。
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 546
ipv6 access-list dhcpv6-list permit udp src any sport any dest any dport eq 547
ipv6 access-list icmpv6-list permit icmp src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list dynamic dflt-list access permit-list
FE0/0へ上記条件でのフィルターをbridgeへ適用させます。
interface FastEthernet0/0.0
bridge-group 1
bridge ipv6 filter dhcpv6-list 1 in
bridge ipv6 filter icmpv6-list 2 in
bridge ipv6 filter block-list 100 in
bridge ipv6 filter dhcpv6-list 1 out
bridge ipv6 filter icmpv6-list 2 out
bridge ipv6 filter dflt-list 100 out
こんな感じです。(ほかの設定もあるけど省略)
テストは、IPv6対応のポートスキャンを利用して状態確認しています。(
こちらとか
こちら)
これがあるPCのポートスキャン結果。もともと、セキュリティソフトが入っているので、ある程度はふさがっているはず。ファイル共用関連の135や139、445が隠れているか?、といったところで見極めることになると思います。