ipv6 ACL для старых свичей

[[anp/hsw]]

Возникла необходимость фильтровать левые ipv6 роутеры (2022 на дворе, пора бы уже!).

Для железок, поддерживающих IPV6, тут все нормально:

Ubiquiti:

ebtables.13.status=enabled
ebtables.13.cmd=-A FIREWALL6 -i eth0 -p 0x86DD -d 33:33:00:00:00:01 -j DROP
ebtables.13.comment=deny IPv6 RA answer
ebtables.14.status=enabled
ebtables.14.cmd=-A FIREWALL6 -i eth0 -p 0x86DD --ip6-protocol 17 --ip6-dport 546 -j DROP
ebtables.14.comment=deny DHCPv6 answer
ebtables.15.status=enabled

Тут мы фильтруем dhcpv6 и ipv6 RA.

 

Но вот ACL для des3526/3200a1-c1 и прочих, acl меня расстраивает.

Если с RA все понятно:

# ipv6 RA answer
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 30
config access_profile profile_id 30 add access_id 1 ethernet  destination_mac 33-33-00-00-00-01 port 1-24 deny

 

То как быть с dhcpv6? Отдельного разбора портов tcpv6/udpv6 у них нет.

Предполагаю, что нужно через packet content mask. У кого-то есть примеры?

 

То, что нужно фильтровать, беру из рекомендации ietf: https://www.ietf.org/archive/id/draft-nward-ipv6-autoconfig-filtering-ethernet-00.html

[taf_321]

За dhcpv6 вроде отвечает вот этот адрес - 33:33:00:01:00:02

[[anp/hsw]]

В 08.11.2022 в 11:41, taf_321 сказал:

33:33:00:01:00:02

Отвечает только за dhcp request. Т.е. на него клиент посылает пакет discovery, но ответ уже приходит от мак-адреса сервера.

Свич фильтрует на порту только принимаемый трафик, т.е. заблочить по мак-адресу левый dhcp, оставив правильный, так не получится.

 

Вот тут обмен с сервером: https://wiki.wireshark.org/uploads/__moin_import__/attachments/SampleCaptures/DHCPv6.pcap