Zaakceptuj lub odrzuć niechciane icmpv6 z Internetu

0

Przetestowałem mój router z kilkoma stronami testowymi IPv6. Dla większości dostaję 10/10. Jednak dla http://ipv6-test.com dostaję 18/20 (zrzut ekranu poniżej).

Mówi w zasadzie, że powinienem umożliwić ICMP v6 dostęp do stacji roboczej z Internetu.

Czy niechciane ICMP v6 z Internetu powinno być kierowane na stacje robocze?

Rozróżniam to „sollicited” ICMPv6, na przykład, gdy polecenia ping -6 odbierają odpowiedzi np. Z stackoverflow.com

wprowadź opis zdjęcia tutaj

networking ipv6 Strangelovian
źródło
2
IPv6 potrzebuje ICMP do wielu rzeczy. Na przykład, IPv4 może fragmentować pakiety wzdłuż ścieżki, ale IPv6 nie może i używa ICMP dla PMTUD. IPv6 musi odkryć najmniejszą jednostkę MTU na ścieżce, aby mogła dostosować MTU na pakietach przed wysłaniem. Ogólnie rzecz biorąc, nie ma nic złego w dopuszczeniu ICMPv6. Jest to jedna z tych rzeczy, w których musisz wyjść z myślenia IPv4 i myślenia IPv6.
Ron Maupin
Zezwalam na pakiety POKREWNE z mechanizmem śledzenia połączeń filtrów sieciowych. Powinno to umożliwić powrót „błędów” ICMPv6 dla ruchu TCP lub UDP pochodzącego ze stacji roboczej. W takim przypadku zapora sieciowa „oczekuje” ICMPv6. Jednak całkowicie losowe echo ICMPv6 z Internetu zostanie zablokowane.
Strangelovian
2
Ale nie zezwalasz hostowi wysyłającemu coś, np. Serwerowi internetowemu, na określenie ścieżki MTU. To był tylko przykład. IPv6 w dużym stopniu zależy od ICMP w sposób, w jaki IPv4 nie. Musisz zapomnieć o myśleniu IPv4 i przejść do myślenia o IPv6.
Ron Maupin
Jakie typy pakietów ICMPv6 wysyłałby serwer WWW w celu ustalenia MTU? FWIW, rozumiem, że ICMPv6 musi zostać zaakceptowany z adresu lokalnego łącza portu WAN, aby można było odbierać pakiety ICMPv6 dotyczące wykrywania sąsiadów i reklam routera. W przeciwnym razie routing internetowy jest zepsuty!
Strangelovian
2
Spróbuję jeszcze raz. IPv6 używa ICMP w sposób, w jaki IPv4 tego nie robi i w dużym stopniu zależy od tego. Zasadniczo należy zezwolić na ICMPv6. Naprawdę musisz porzucić myślenie IPv4 z IPv6. RFC 4443, Protokół protokołu kontroli Internetu (ICMPv6) dla specyfikacji protokołu internetowego w wersji 6 (IPv6) mówi najlepiej: „ ICMPv6 jest integralną częścią IPv6, a protokół podstawowy (wszystkie komunikaty i zachowanie wymagane przez tę specyfikację) MUSI być w pełni zaimplementowane przez każdy węzeł IPv6.
Ron Maupin

Odpowiedzi:

1

Po wielu badaniach, następujący RFC całkiem go ulepszy: https://tools.ietf.org/html/rfc4890#section-4.3

TLDR; następujące typy pakietów ICMPv6 nie mogą być usuwane z globalnego adresu łącza:

  • Miejsce docelowe nieosiągalne (typ 1)
  • Wszystkie kody Pakiet zbyt duży (typ 2)
  • Przekroczony czas (typ 3) Tylko kod 0
  • Problem z parametrem (typ 4) Tylko kody 1 i 2
  • Żądanie echa (typ 128)
  • Odpowiedź echa (typ 129)
Strangelovian
źródło