Mě asi nejvíce sedí CS FW + ip6tables ... ten web gui je pro mě těžkopádný 👎
Sice mi vadí, že UBNT jede v těch AP / CPE obstarožní kernel 2.6.32.68, ale co se dá dělat.
Rozhodně to není taky neprůstřelné, ale říkám si lepší něco než nic. A určitě by to šlo vylepšit.
Zabezpečení CPE:
WA# ip6tables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p ipv6-icmp -m limit --limit 15/sec -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -s [VAS_prefix_ipv6] -p tcp -m multiport --dports 22,80,443 -j ACCEPT
-A INPUT -j DROP
-A INPUT -j LOG --log-prefix '** Firewall_IPv6 **'
zabezpečení klientů za CPE - LAN:
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -o br0 -j ACCEPT
-A FORWARD -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A FORWARD -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
-A FORWARD -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
-A FORWARD -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
-A FORWARD -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A FORWARD -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
-A FORWARD -p icmpv6 --icmpv6-type 144 -j ACCEPT
-A FORWARD -p icmpv6 --icmpv6-type 145 -j ACCEPT
-A FORWARD -p icmpv6 --icmpv6-type 146 -j ACCEPT
-A FORWARD -p icmpv6 --icmpv6-type 147 -j ACCEPT
-A FORWARD -p tcp --dport 32768:65535 -i br0 -j ACCEPT
-A FORWARD -p udp --dport 32768:65535 -i br0 -j ACCEPT
-A FORWARD -j DROP