gigacampus » start page » ipv6aksesslister

IPv6 pakkefilter

Når det gjelder pakkefilter til IPv6 så anbefaler vi også å bruke UFS106 som utgangspunkt.

Det er kun navngitte aksesslister som støttes for IPv6. (I motsetning til IPv4 som støtter både navngitte og nummererte aksesslister).

Her er et eksempel på hvordan man lager ett IPv6 pakkefilter for Cisco-utstyr. Dette filteret er bare satt opp med eksempler på ulike innslag man har i ett filter. Reglene er ikke satt opp for å gi mening sammen.

 ipv6 access-list vlan10out
  !
  ! Tillat trafikk initiert fra innsiden
  permit tcp any any established
  !
  ! Tillat svar på dns fra dns-server (her oliven)
  permit udp host 2001:700:0:503::ca53 eq 53 any
  !
  ! Tillat ssh fra uninett-adresser
  permit tcp 2001:700:1::/48 any eq 22
  !
  ! Nekt NetBios/CIFS fra alle
  deny udp any any range 135 139
  deny tcp any any range 135 139
  deny udp any any eq 445
  deny tcp any any eq 445
  !
  ! Tillat icmp
  permit icmp any any
  !
  ! Nekt resten
  deny ip any any
  !
  end 

Filteret blir lagt til interface't på denne måten:

interface Vlan10
  ipv6 traffic-filter vlan10-out out

For å vise pakkefilteret bruker man denne kommandoen:

 show ipv6 access-list vlan10-out
 
 
gigacampus/ipv6aksesslister.txt · Last modified: 2010/05/11 12:00 by rune@uninett.no

Viktig melding: openwiki.uninett.no

UNINETT OpenWiki er under utfasing. Wikier som er lite brukt er satt i kun-lese-modus. Ta kontakt med UNINETT for å åpne for skrivetilgang ved behov.

Group memberships: no groups