====== Ambiente de teste com regras de firewall IPv6 com equipamento Cisco ======
Segue abaixo o ambiente proposto.
{{ :infra-estrutura:ipv6:regras_firewall_ipv6.png?direct |}}
Acima temos as direções dos pacotes de entrada(IN) e saída(OUT) ou ainda inbound ou outbound que são a mesma coisa.
Criaremos somente regras para a WAN, abaixo segue as regras, faremos uso de regras reflexivas para tratar trafegos estabelecidos.
A proposta de segurança para este exemplo de teste e o seguinte.
===== Na Entrada da WAN: =====
* Permite trafego tcp para o destino equipamento 2804:FF0:4:0:EA40:40FF:FEE7:ED20 na porta 22(ssh)
* Permite trafego tcp para o destino rede 2804:ff0:3::/64 na porta 53(dns)
* Permite trafego udp para o destino rede 2804:ff0:3::/64 na porta 53(dns)
* Permite trafego icmp para o destino rede 2804:ff0:3::/64
* Na opção evaluate permite somente o que combinar com "label" SAIDA, ou seja, conexoes que foram originadas dentro da rede LAN(estabelecidas).
===== Na saída da WAN: =====
* Permite todos os protocolos TCP, UDP e ICMP.
Poderiamos refinar essa regras informando a origem no nosso caso 2804:ff0::/32
ipv6 access-list WAN_IN
permit tcp any host 2804:FF0:4:0:EA40:40FF:FEE7:ED20 eq 22
permit tcp any 2804:ff0:3::/64 eq 53
permit udp any 2801:ff0:3::/64 eq 53
permit icmp any any
evaluate SAIDA
ipv6 access-list WAN_OUT
permit icmp any any reflect SAIDA
permit tcp any any reflect SAIDA
permit udp any any reflect SAIDA
Segue um desenho para ficar mais claro
{{ :infra-estrutura:ipv6:regras_firewall_ipv6-2.png?direct |}}
Att.