Trochu konkrétně - takhle vypadají naše IPv6 firewally:
[admin@MikroTik] > /ipv6 firewall export
/ipv6 firewall filter
add action=accept chain=input comment="INPUT - Allow icmp" protocol=icmpv6
add action=accept chain=input comment="INPUT - Allow all from monitoring" src-address=2001:db8:abcd:0012::1234/128
# ... toto pravidlo se opakuje podle potřeby pro různé prefixy
add action=accept chain=forward comment="FORWARD - Allow icmp" protocol=icmpv6
add action=accept chain=forward comment="FORWARD - Allow all outgoing connections" out-interface=bonding1
add action=accept chain=forward comment="FORWARD - Allow established connections" connection-state=established,related
add action=accept chain=forward comment="FORWARD - Allow all from monitoring" src-address=2001:db8:abcd:0012::1234/128
# ... toto pravidlo se opakuje podle potřeby pro různé prefixy
add action=drop chain=input comment="INPUT - Drop all"
add action=drop chain=forward comment="FORWARD - Drop all"
Na jedné straně jsou L3 switche, na druhé straně je síť pro zařízení. Je to staticky naroutované a má to za úkol jen filtrovat provoz - tzn. do druhé sítě pustit jen navázané spojení nebo z povolených adres. A na druhou stranu do internetu nechat navazovat kde co.
