Passa al contenuto principale

4.3. Site Border Router and Firewall Packet Filtering (Router di confine del sito e filtraggio pacchetti firewall)

4.3. Site Border Router and Firewall Packet Filtering (Router di confine del sito e filtraggio pacchetti firewall)

Sebbene non si verifichi alcun danno grave se i pacchetti con questi indirizzi vengono inviati all'esterno di un sito tramite una route predefinita, si raccomanda che i router siano configurati per impostazione predefinita per impedire a qualsiasi pacchetto con indirizzi IPv6 locali di fuoriuscire dall'esterno del sito e per impedire che qualsiasi prefisso del sito venga pubblicizzato all'esterno del loro sito.

I router di confine del sito e i firewall dovrebbero essere configurati per non inoltrare pacchetti con indirizzi IPv6 locali di origine o destinazione all'esterno del sito, a meno che non siano stati esplicitamente configurati con informazioni di instradamento su prefissi IPv6 locali specifici /48 o più lunghi. Ciò garantirà che i pacchetti con indirizzi IPv6 locali di destinazione non vengano inoltrati all'esterno del sito tramite una route predefinita. Il comportamento predefinito di questi dispositivi dovrebbe essere di installare una route "reject" per questi prefissi. I router di confine del sito dovrebbero rispondere con il messaggio ICMPv6 Destination Unreachable appropriato per informare la sorgente che il pacchetto non è stato inoltrato [ICMPV6]. Questo feedback è importante per evitare timeout del protocollo di trasporto.

I router che mantengono accordi di peering tra Autonomous System in tutto Internet dovrebbero obbedire alle raccomandazioni per i router di confine del sito, a meno che non siano configurati diversamente.

Ultimo aggiornamento il