Aceitar ou rejeitar o icmpv6 não solicitado da Internet

0

Testei meu equipamento de roteador com alguns sites de teste de ipv6. Estou recebendo 10/10 para a maioria. No entanto, para http://ipv6-test.com , recebo 18/20 (tampa da tela abaixo).

Basicamente, diz que devo permitir que a estação de trabalho seja acessível pelo ICMP v6 proveniente da Internet.

O ICMP v6 não solicitado da Internet deve ser roteado para as estações de trabalho?

Eu faço a distinção com o ICMPv6 "sollicited", por exemplo, quando os comandos ping -6 recebem respostas de, por exemplo, stackoverflow.com

insira a descrição da imagem aqui

networking ipv6 Strangeloviano
fonte
2
O IPv6 precisa do ICMP para muitas coisas. Por exemplo, o IPv4 pode fragmentar pacotes ao longo do caminho, mas o IPv6 não pode e usa o ICMP para PMTUD. O IPv6 precisa descobrir a menor MTU no caminho para poder ajustar a MTU nos pacotes antes de enviá-la. Em geral, não há nada errado em permitir o ICMPv6. Essa é uma daquelas coisas em que você precisa sair do pensamento do IPv4 e entrar no pensamento do IPv6.
Ron Maupin
Estou permitindo pacotes RELACIONADOS com o mecanismo de rastreamento de conexão com filtro de rede. Isso deve permitir que "erros" do ICMPv6 retornem para o tráfego TCP ou UDP originário da estação de trabalho. Nesse caso, o ICMPv6 é "esperado" pelo firewall com estado. No entanto, o eco ICMPv6 completamente aleatório da Internet seria bloqueado.
Strangelovian
2
Mas você não está permitindo que um host envie algo para você, por exemplo, servidor web, para determinar o caminho da MTU. Isso foi apenas um exemplo. O IPv6 depende muito do ICMP de maneiras que o IPv4 não. Você precisa esquecer o pensamento do IPv4 e entrar no pensamento do IPv6.
precisa
Quais tipos de pacote ICMPv6 o servidor da Web envia para determinar a MTU? FWIW, eu entendo que o ICMPv6 deve ser aceito no endereço local do link da porta WAN, para que a descoberta de vizinhos e os pacotes ICMPv6 de propaganda de roteador sejam recebidos. Caso contrário, o roteamento da Internet está quebrado!
Strangelovian
2
Vou tentar isso mais uma vez. O IPv6 usa o ICMP de maneiras que o IPv4 não, e depende muito disso. Em geral, você deve permitir o ICMPv6. Você realmente precisa abandonar o pensamento do IPv4 com o IPv6. A RFC 4443, ICMPv6 (Internet Control Message Protocol) para a especificação IPv6 (Internet Protocol Version 6) diz o melhor: "O ICMPv6 é parte integrante do IPv6, e o protocolo base (todas as mensagens e comportamento exigidos por esta especificação) DEVE ser totalmente implementado por todos os nós do IPv6. "
Ron Maupin 17/10

Respostas:

1

Depois de muita pesquisa, a RFC a seguir explica: https://tools.ietf.org/html/rfc4890#section-4.3

TLDR; os seguintes tipos de pacotes ICMPv6 não devem ser descartados de um endereço de link global:

  • Destino inacessível (tipo 1)
  • Todos os códigos Packet Too Big (Type 2)
  • Tempo excedido (apenas tipo 3) Código 0
  • Problema de Parâmetro (Tipo 4) Apenas códigos 1 e 2
  • Solicitação de eco (tipo 128)
  • Resposta de eco (tipo 129)
Strangeloviano
fonte