====== Ambiente de teste com regras de firewall IPv6 com equipamento Cisco ======


Segue abaixo o ambiente proposto.

{{ :infra-estrutura:ipv6:regras_firewall_ipv6.png?direct |}}

Acima temos as direções dos pacotes de entrada(IN) e saída(OUT) ou ainda inbound ou outbound que são a mesma coisa.

Criaremos somente regras para a WAN, abaixo segue as regras, faremos uso de regras reflexivas para tratar trafegos estabelecidos.

A proposta de segurança para este exemplo de teste e o seguinte.

===== Na Entrada da WAN: =====


  * Permite trafego tcp para o destino equipamento 2804:FF0:4:0:EA40:40FF:FEE7:ED20 na porta 22(ssh)
  * Permite trafego tcp para o destino rede 2804:ff0:3::/64 na porta 53(dns)
  * Permite trafego udp para o destino rede 2804:ff0:3::/64 na porta 53(dns)
  * Permite trafego icmp para o destino rede 2804:ff0:3::/64 
  * Na opção evaluate permite somente o que combinar com "label" SAIDA, ou seja, conexoes que foram originadas dentro da rede LAN(estabelecidas).

===== Na saída da WAN: =====


  * Permite todos os protocolos TCP, UDP e ICMP. 

Poderiamos refinar essa regras informando a origem no nosso caso 2804:ff0::/32


<code>
ipv6 access-list WAN_IN
        permit tcp any host 2804:FF0:4:0:EA40:40FF:FEE7:ED20 eq 22
        permit tcp any 2804:ff0:3::/64 eq 53
        permit udp any 2801:ff0:3::/64 eq 53
        permit icmp any any
        evaluate SAIDA
</code>


<code>
ipv6 access-list WAN_OUT
        permit icmp any any reflect SAIDA
        permit tcp any any reflect SAIDA
        permit udp any any reflect SAIDA
</code>

Segue um desenho para ficar mais claro


{{ :infra-estrutura:ipv6:regras_firewall_ipv6-2.png?direct |}}



Att.