Jump to content
Калькуляторы

ipv6 ACL для старых свичей

Возникла необходимость фильтровать левые ipv6 роутеры (2022 на дворе, пора бы уже!).

Для железок, поддерживающих IPV6, тут все нормально:

Ubiquiti:

ebtables.13.status=enabled
ebtables.13.cmd=-A FIREWALL6 -i eth0 -p 0x86DD -d 33:33:00:00:00:01 -j DROP
ebtables.13.comment=deny IPv6 RA answer
ebtables.14.status=enabled
ebtables.14.cmd=-A FIREWALL6 -i eth0 -p 0x86DD --ip6-protocol 17 --ip6-dport 546 -j DROP
ebtables.14.comment=deny DHCPv6 answer
ebtables.15.status=enabled

Тут мы фильтруем dhcpv6 и ipv6 RA.

 

Но вот ACL для des3526/3200a1-c1 и прочих, acl меня расстраивает.

Если с RA все понятно:

# ipv6 RA answer
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 30
config access_profile profile_id 30 add access_id 1 ethernet  destination_mac 33-33-00-00-00-01 port 1-24 deny

 

То как быть с dhcpv6? Отдельного разбора портов tcpv6/udpv6 у них нет.

Предполагаю, что нужно через packet content mask. У кого-то есть примеры?

 

То, что нужно фильтровать, беру из рекомендации ietf: https://www.ietf.org/archive/id/draft-nward-ipv6-autoconfig-filtering-ethernet-00.html

Share this post


Link to post
Share on other sites

В 08.11.2022 в 11:41, taf_321 сказал:

33:33:00:01:00:02

Отвечает только за dhcp request. Т.е. на него клиент посылает пакет discovery, но ответ уже приходит от мак-адреса сервера.

Свич фильтрует на порту только принимаемый трафик, т.е. заблочить по мак-адресу левый dhcp, оставив правильный, так не получится.

 

Вот тут обмен с сервером: https://wiki.wireshark.org/uploads/__moin_import__/attachments/SampleCaptures/DHCPv6.pcap

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.