Faut ptet qq regles FIREWALL, non ?
y'a 2 écoles: soit le routeur laisse tout passer et chaque machine sur le LAN gere sa sécurité , soit effectivement il faut au moins un statefull firewall sur le point d'entrée (le routeur).
la config "statefull firewall" de base pour l'ER en IPv6:
firewall {
ipv6-name IPv6_FW {
default-action drop
enable-default-log
description "IPv6 packets from the Internet to LAN"
rule 1 {
action accept
description "Allow established sessions"
state {
established enable
related enable
}
}
rule 2 {
action drop
state {
invalid enable
}
}
rule 5 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
comment ca marche:
default-action drop -> on 'drop' tout ce qui entre sauf si ca match une regle dans ce cas la regle dit quoi faire.
regle 1 : si le traffic entrant correspond a la reponse d'un trafic sortant précédent (established enable), on laisse entrer (action accept).
regle 2 : si le traffic entrant correspond a rien de connu, on bloque.
regle 5: on laisse entrer icmpv6 - c'est important pour la fragmentation entre autre. On peut raffiner si on veut bloquer le ping.
ne pas oublier ensuite d'appliquer IPv6_FW a la bonne interface et
dans le bon sens (en "out" de eth7 dans ton cas):
set interfaces ethernet eth7 firewall out ipv6-name IPv6_FW
un bon site pour tester la sécurité de son PC enIPv6:
http://www6.chappell-family.co.uk/cgi-bin6/ipscan-fast-js.cgi