Ambiente de teste com regras de firewall IPv6 com equipamento Cisco

Segue abaixo o ambiente proposto.

Acima temos as direções dos pacotes de entrada(IN) e saída(OUT) ou ainda inbound ou outbound que são a mesma coisa.

Criaremos somente regras para a WAN, abaixo segue as regras, faremos uso de regras reflexivas para tratar trafegos estabelecidos.

A proposta de segurança para este exemplo de teste e o seguinte.

Na Entrada da WAN:

Permite trafego tcp para o destino equipamento 2804:FF0:4:0:EA40:40FF:FEE7:ED20 na porta 22(ssh)
Permite trafego tcp para o destino rede 2804:ff0:3::/64 na porta 53(dns)
Permite trafego udp para o destino rede 2804:ff0:3::/64 na porta 53(dns)
Permite trafego icmp para o destino rede 2804:ff0:3::/64
Na opção evaluate permite somente o que combinar com “label” SAIDA, ou seja, conexoes que foram originadas dentro da rede LAN(estabelecidas).

Na saída da WAN:

Permite todos os protocolos TCP, UDP e ICMP.

Poderiamos refinar essa regras informando a origem no nosso caso 2804:ff0::/32

ipv6 access-list WAN_IN
        permit tcp any host 2804:FF0:4:0:EA40:40FF:FEE7:ED20 eq 22
        permit tcp any 2804:ff0:3::/64 eq 53
        permit udp any 2801:ff0:3::/64 eq 53
        permit icmp any any
        evaluate SAIDA

ipv6 access-list WAN_OUT
        permit icmp any any reflect SAIDA
        permit tcp any any reflect SAIDA
        permit udp any any reflect SAIDA

Segue um desenho para ficar mais claro

Att.