Campus IPv6 WikiTűzfal teszt környezet
Tüzfal konfigurációk
- Tűzfal a védendő gépen
- Tűzfal a védendő hálózat előtt
[protected]---[tüzfal]---[unprotected]
Ilyenkor szokásos forgalmi viszonyok:Client Server ------ ------ protected -> unprotected unprotected -> protected
- Tűzfal rendelkezik további interfésszel a DMZ számára
[protected]---[tüzfal]---[unprotected] | [DMZ]Ilyenkor szokásos forgalmi viszonyok:Client Server ------ ------ protected -> pnprotected protected -> DMZ unprotected -> DMZ
A 3. eset igazából a tűzfal müködése szempontjábol nem különbözik a 2. esettől - csak a routing eltérő.
Tesztek csoportosítás
1. IPv6 block - IPv4 keresztül megy, de IPv6 egyik irányban sem müködik
- Esetleg speciálisabb IPv6 csomagok blokkolását is érdemes tesztelni -
- fregmentált
- fregmentált és nem látszik a felsö szintű protokoll
2. IPv6 kliens kommunkiáció lehetséges a protected networkből kifelé, de befelé nem lehetséges, kivéve a kliensnek adott válaszokat
- Tesztelendö, hogy nyílik-e conntrack/state bejegyzés
- Beérkeznek-e az ICMPv6 hibajelzések:
- patcket_too_big - pathMTUdiscovery,
- TTL exceeded - traceroute6
- destination unreachable,
- parameter problem - ez nehéz lesz
- router advertisment
- Képes-e ICMPv6 informális üzeneteket átengedni
- ICMPv6 echo -ping
- IPv6 http/telnet/ssh keresztül megy-e
- IPv6 ftp keresztül megy-e
- e-passive mode
- lport mode
- sport mode
3. Kliens kommunikáció lehetséges a protected network/DMZ felé
- Tesztelendö, hogy nyílik-e conntrack/state bejegyzés
- Képes-e ICMPv6 hibaüzeneteket generálni:
- patcket_too_big - pathMTUdiscovery,
- TTL exceeded -traceroute6
- destination unreachable,
- parameter problem - ez nehéz lesz
- Képes-e ICMPv6 informális üzeneteket átengedni
- ICMPv6 echo -ping
- IPv6 http/telnet/ssh keresztül megy-e
- IPv6 ftp keresztül megy-e
- e-passive mode
- lport mode
- sport mode
Supported by GVOP AKF