Cho phép tất cả các loại ICMPv6. Giới hạn tốc độ gói ICMPv6 mỗi giây, nếu có thể, để hạn chế sử dụng tài nguyên trên thiết bị IP. Đây là cách dễ dàng, và không phải là không an toàn như nó có vẻ.
Hoặc, phương pháp nghiên cứu của bạn là đọc Khuyến nghị RFC 4890 để lọc thông báo ICMPv6 trong tường lửa. Lưu ý thiếu phải được bỏ khuyến nghị cho một sự khởi đầu.
"Liên kết toàn cầu" không phải là một thuật ngữ tiêu chuẩn. Tôi nghĩ bạn có nghĩa là unicast (toàn cầu). Trái ngược với liên kết cục bộ hoặc phát đa hướng, nằm trong phạm vi xác định. Hơn nữa, bạn sẽ muốn có một tường lửa với khái niệm vùng. Vì bạn có thể muốn có một chính sách khác về tiền tố của mình so với internet, nhưng cả hai đều là phạm vi unicast toàn cầu.
RFC giải thích, nhiều thông báo trong phạm vi cục bộ này không yêu cầu lọc đặc biệt. Các bộ định tuyến tuân thủ sẽ không chuyển tiếp liên kết có nguồn cục bộ. Các máy chủ tuân thủ nhận được thông báo khám phá hàng xóm sẽ xác nhận rằng chúng không đi qua bộ định tuyến. Và nhiều tường lửa là bộ định tuyến, vì vậy bạn cần khám phá hàng xóm, bao gồm cả RA, để hoạt động.
Như một ví dụ thực tế, chúng ta hãy xem nhanh cách xử lý ICMPv6 mặc định của bộ định tuyến miễn phí, OpenWrt. Câu hỏi này bao gồm ít nhiều các quy tắc tường lửa ICMPv6 mặc định.
Vùng "lan" mặc định chấp nhận tất cả.Vùng "wan" mặc định chỉ gửi đi. Tường lửa đơn giản điển hình. Cho phép các quy tắc có nguồn gốc từ wan:
quy tắc cấu hình
tên tùy chọn 'Cho phép-ICMPv6-Đầu vào'
tùy chọn src 'wan'
tùy chọn proto 'icmp'
liệt kê icmp_type 'echo-request'
danh sách icmp_type 'echo-reply'
danh sách icmp_type 'không thể truy cập đích'
liệt kê icmp_type 'gói quá lớn'
danh sách icmp_type 'vượt quá thời gian'
danh sách icmp_type 'tiêu đề xấu'
liệt kê icmp_type 'loại tiêu đề không xác định'
liệt kê icmp_type 'gạ gẫm bộ định tuyến'
liệt kê icmp_type 'gạ gẫm hàng xóm'
liệt kê icmp_type 'quảng cáo bộ định tuyến'
liệt kê icmp_type 'quảng cáo hàng xóm'
giới hạn tùy chọn '1000/giây'
họ tùy chọn 'ipv6'
mục tiêu tùy chọn 'CHẤP NHẬN'
quy tắc cấu hình
tên tùy chọn 'Cho phép-ICMPv6-Chuyển tiếp'
tùy chọn src 'wan'
tùy chọn đích '*'
tùy chọn proto 'icmp'
danh sách icmp_type 'echo-request'
danh sách icmp_type 'echo-reply'
danh sách icmp_type 'không thể truy cập đích'
liệt kê icmp_type 'gói quá lớn'
danh sách icmp_type 'vượt quá thời gian'
danh sách icmp_type 'tiêu đề xấu'
liệt kê icmp_type 'loại tiêu đề không xác định'
giới hạn tùy chọn '1000/giây'
họ tùy chọn 'ipv6'
mục tiêu tùy chọn 'CHẤP NHẬN'
Hầu hết các loại không được bỏ, xem phần 4.4.1. Lưu ý trong 'Cho phép-ICMPv6-Chuyển tiếp', các loại lỗi và tiếng vang luôn được cho phép, gửi đến hoặc gửi đi.
quy tắc cấu hình
tên tùy chọn 'Cho phép-MLD'
tùy chọn src 'wan'
tùy chọn proto 'icmp'
tùy chọn src_ip 'fe80::/10'
danh sách icmp_type '130/0'
liệt kê icmp_type '131/0'
danh sách icmp_type '132/0'
liệt kê icmp_type '143/0'
họ tùy chọn 'ipv6'
mục tiêu tùy chọn 'CHẤP NHẬN'
Tin nhắn thông báo máy thu multicast liên kết cục bộ.
Nhìn chung, cho phép mọi thứ trong vùng bên trong và cho phép lỗi, tiếng vang, phát hiện hàng xóm và ICMP liên quan đến phát đa hướng đến từ internet.Không cho phép những thứ khác như GỬI đi qua internet. Không phải là cách duy nhất để lọc nội dung này, nhưng ít nhất không phá vỡ IPv6.
