#acl All:read <> = Tűzfal teszt környezet = == Tüzfal konfigurációk == 1. Tűzfal a védendő gépen 2. Tűzfal a védendő hálózat előtt {{{ [protected]---[tüzfal]---[unprotected] }}} Ilyenkor szokásos forgalmi viszonyok: {{{ Client Server ------ ------ protected -> unprotected unprotected -> protected }}} 3.#3 Tűzfal rendelkezik további interfésszel a DMZ számára {{{ [protected]---[tüzfal]---[unprotected] | [DMZ] }}} Ilyenkor szokásos forgalmi viszonyok: {{{ Client Server ------ ------ protected -> pnprotected protected -> DMZ unprotected -> DMZ }}} A 3. eset igazából a tűzfal müködése szempontjábol nem különbözik a 2. esettől - csak a routing eltérő. == Tesztek csoportosítás == 1. IPv6 block - IPv4 keresztül megy, de IPv6 egyik irányban sem müködik Esetleg speciálisabb IPv6 csomagok blokkolását is érdemes tesztelni - 1. fregmentált 2. fregmentált és nem látszik a felsö szintű protokoll 2. IPv6 kliens kommunkiáció lehetséges a protected networkből kifelé, de befelé nem lehetséges, kivéve a kliensnek adott válaszokat 1. Tesztelendö, hogy nyílik-e conntrack/state bejegyzés 2. Beérkeznek-e az ICMPv6 hibajelzések: * patcket_too_big - pathMTUdiscovery, * TTL exceeded - traceroute6 * destination unreachable, * parameter problem - ez nehéz lesz * router advertisment 3. Képes-e ICMPv6 informális üzeneteket átengedni * ICMPv6 echo -ping 4. IPv6 http/telnet/ssh keresztül megy-e 5. IPv6 ftp keresztül megy-e * e-passive mode * lport mode * sport mode 3. Kliens kommunikáció lehetséges a protected network/DMZ felé 1. Tesztelendö, hogy nyílik-e conntrack/state bejegyzés 2. Képes-e ICMPv6 hibaüzeneteket generálni: * patcket_too_big - pathMTUdiscovery, * TTL exceeded -traceroute6 * destination unreachable, * parameter problem - ez nehéz lesz 3. Képes-e ICMPv6 informális üzeneteket átengedni * ICMPv6 echo -ping 4. IPv6 http/telnet/ssh keresztül megy-e 5. IPv6 ftp keresztül megy-e * e-passive mode * lport mode * sport mode