Разрешить все типы ICMPv6. По возможности ограничьте скорость пакетов ICMPv6 в секунду, чтобы ограничить использование ресурсов на IP-устройствах. Это простой способ, и он не так небезопасен, как кажется.
Или, ваш метод исследования заключается в том, чтобы читать Рекомендации RFC 4890 по фильтрации сообщений ICMPv6 в брандмауэрах. Обратите внимание на отсутствие должен Сбросьте рекомендации для начала.
«Link-global» не является стандартным термином. Я думаю, вы имеете в виду (глобальную) одноадресную рассылку. В отличие от локальной или многоадресной рассылки, которые находятся в определенных диапазонах. Кроме того, вам понадобится брандмауэр с концепцией зоны. Поскольку вам, вероятно, нужна другая политика для ваших префиксов по сравнению с Интернетом, но оба являются глобальными одноадресными.
В RFC поясняется, что многие из этих локальных сообщений не требуют специальной фильтрации. Совместимые маршрутизаторы не будут перенаправлять ссылку из локального источника. Соответствующие требованиям хосты, получающие сообщения об обнаружении соседей, подтвердят, что они не прошли через маршрутизатор. А многие брандмауэры являются маршрутизаторами, поэтому для работы вам необходимо обнаружение соседей, включая RA.
В качестве практического примера давайте быстро рассмотрим обработку ICMPv6 по умолчанию для бесплатного маршрутизатора OpenWrt. Этот вопрос включает более или менее стандартные правила брандмауэра ICMPv6.
Зона "lan" по умолчанию принимает все.Зона "wan" по умолчанию только исходящая. Типичный простой брандмауэр. Разрешающие правила берутся из wan:
правило конфигурации
имя параметра «Разрешить ввод ICMPv6»
опция src 'wan'
вариант прототипа 'icmp'
list icmp_type 'эхо-запрос'
list icmp_type 'эхо-ответ'
list icmp_type 'пункт назначения недостижим'
list icmp_type 'слишком большой пакет'
список icmp_type 'время истекло'
список icmp_type 'плохой заголовок'
список icmp_type 'неизвестный тип заголовка'
list icmp_type 'запрос маршрутизатора'
list icmp_type 'запрос соседей'
list icmp_type 'реклама-маршрутизатора'
список icmp_type 'соседская реклама'
ограничение опции «1000/сек»
семейство опций 'ipv6'
вариант цели «ПРИНЯТЬ»
правило конфигурации
имя параметра «Разрешить-ICMPv6-Forward»
опция src 'wan'
пункт назначения '*'
вариант прототипа 'icmp'
list icmp_type 'эхо-запрос'
list icmp_type 'эхо-ответ'
list icmp_type 'пункт назначения недостижим'
list icmp_type 'слишком большой пакет'
список icmp_type 'время истекло'
список icmp_type 'плохой заголовок'
список icmp_type 'неизвестный тип заголовка'
ограничение опции «1000/сек»
семейство опций 'ipv6'
вариант цели «ПРИНЯТЬ»
В большинстве случаев нельзя отбрасывать типы, см. раздел 4.4.1. Обратите внимание, что в «Allow-ICMPv6-Forward» всегда разрешены типы ошибок и эхо, входящие или исходящие.
правило конфигурации
имя параметра «Разрешить-MLD»
опция src 'wan'
вариант прототипа 'icmp'
опция src_ip 'fe80::/10'
список icmp_type '130/0'
список icmp_type '131/0'
список icmp_type '132/0'
список icmp_type '143/0'
семейство опций 'ipv6'
вариант цели «ПРИНЯТЬ»
Сообщения уведомления локального многоадресного приемника.
В целом, разрешает все во внутренней зоне, а также разрешает поступление из Интернета ICMP, связанных с ошибками, эхом, обнаружением соседей и многоадресной рассылкой.Не позволяет другим вещам, таким как SEND, проходить через Интернет. Не единственный способ отфильтровать этот материал, но, по крайней мере, не нарушает IPv6.
