Escolar Documentos
Profissional Documentos
Cultura Documentos
br - HP13916100312981
0
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Introdução 2
O que é o IPv6? 2
Técnicas de transição 2
IPv6 x IPv4 4
Tipos de comunicação 6
Endereçamento - Entendendo a fundo o IPv6 6
Órgãos que controlam os endereços 6
Hexadecimais 7
Representação de um IPv6 8
Endereços especiais 9
SLAAC e ICMPv6 12
Cenário Prático 14
Planejamento 15
phpIPAM 18
Firewall 43
Protegendo o Roteador 45
Protegendo os Clientes 45
Considerações finais 46
1
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Introdução
O que é o IPv6?
O IPv6 é o protocolo padrão de internet nos dias atuais, sendo o IPv4 já
considerado como legado. Sim, você não leu errado, o IPv4 é um protocolo
legado, e quer uma notícia ainda mais bizarra? A RFC que definiu o protocolo IPv6
é de 1998, ou seja, o protocolo já existe há mais de 20 anos. O grande problema
foi termos empurrado com a barriga para adotar o IPv6 até o ponto da exaustão de
endereços IPv4. Agora, não há mais opção, o IPV6 deve ser adotado na rede, caso
contrário, não há como continuar o crescimento da internet.
E se a exaustão de endereços IPv4 não for motivo suficiente para adotar o
IPv6, temos muitos outros, como:
● Não temos mais IPv4: os últimos blocos mundiais de IPv4 já foram
alocados, no Brasil mesmo, novos ASN só recebem blocos de IPv6.
● Melhora o acesso do cliente: técnicas como o CGNAT deixam de ser
necessárias, já que compartilhamento de endereços IP não precisam ocorrer
mais. Acabando com problemas relacionados ao NAT e tornando a
comunicação fim-a-fim totalmente possível em 100% dos casos.
● Preparado para a IoT: a Internet of Things é uma realidade - aspiradores de
pó, geladeiras, máquinas de lavar, lâmpadas já estão conectados na
internet, o que irá demandar o uso do IPv6 como algo obrigatório, caso
contrário, vários equipamentos de CGNAT terão problemas em alocar portas
para os assinantes por conta da exaustão das mesmas devido a quantidade
de dispositivos.
● Maior segurança: temos por exemplo, o IPSec que foi desenvolvido para o
IPv6 e adaptado para uso no IPv4, ele proporciona uma maior dificuldade
dos bots em fazer scan de redes em IPv6, entrega endereços IP temporários
para cada conexão segura, entre outros mecanismos.
Técnicas de transição
E não podemos fazer uma introdução sobre IPv6 sem falarmos de
mecanismos de transição de redes IPv4 para IPv6, inclusive um deles já
mencionado, o NAT. Se focarmos em todos os mecanismos que envolvem as
2
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
3
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
IPv6 x IPv4
E, começando agora nossa comparação entre os protocolos, deixo uma
tabela elencando as principais diferenças entre ambos os protocolos.
2001:0DB8:0000:0000:0000:0000:0000:0001/32
2001:0DB8:0:0:0:0:0:0001/32
4
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
2001:DB8:0:0:0:0:0:1/32
2001:DB8::1/32
5
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Tipos de comunicação
O unicast é quando a troca de
mensagens ocorre diretamente
entre dois hosts. Dizemos que ela
é uma comunicação um-para-um.
Por exemplo, quando você inicia uma conversa com uma pessoa no Whatsapp,
você está enviando uma mensagem para ela, e apenas para ela.
6
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Hexadecimais
Continuando de onde surgem os endereços... Deixo uma tabela
comparando números hexadecimais com decimais e binários. Preste atenção nela,
pois provavelmente é a primeira vez, de muitos, tendo que trabalhar com este
sistema numérico e pode dar um nó na cabeça enquanto não entendermos que 10
em hexadecimal é 16 em decimal e que 10 em decimal é A em hexadecimal.
0 0000 0
1 0001 1
2 0010 2
7
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
3 0011 3
4 0100 4
5 0101 5
6 0110 6
7 0111 7
8 1000 8
9 1001 9
10 1010 A
11 1011 B
12 1100 C
13 1101 D
14 1110 E
15 1111 F
16 1000 10
17 1001 11
26 11010 1A
100 1100100 64
Representação de um IPv6
Como dito anteriormente, um IPv6 é simbolizado por um conjunto de 8
blocos com 4 dígitos hexadecimais em cada bloco. Como vimos acima, a maior
unidade hexadecimal é composta de 4 bits (1111), logo, podemos dizer que cada
bloco de um endereço IPv6 tem 16 bits, e como temos 8 blocos: 16 x 8 totaliza os
128 bits de um endereço.
8
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
2001:DB8:0000:0000:0000:0000:0000:0000/32
2001:0DB8::/32
Porém, só podemos utilizar uma vez os ::, pois, ficaria impossível diferenciar
alguns endereços, por exemplo:
2001:0DB8::1::/32
Seria:
2001:0DB8:0000:0000:0000:0001:0000:0000/32
Ou seria:
2001:0DB8:0000:0000:0001:0000:0000:0000/32
2001:0DB8::1:443
9
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Para resolver isso, ficou determinado que a parte que se refere ao endereço
IP deve ser escrito entre colchetes ([IP]), no caso acima poderíamos:
Acessar o IP na porta 443:
[2001:0DB8::1]:443
Acessar o IP:
[2001:0DB8::1:443]
Endereços especiais
Assim como o IPv4 possui endereços de uso especial (127.0.0.1/8,
192.168.0.0/16), também foram reservados alguns blocos de IPv6 para usos
especiais, principalmente para multicast. Mas antes de falarmos sobre os grupos de
multicast, que é um assunto muito importante dentro do endereçamento do IPv6,
vamos comparar alguns endereços especiais que existem em ambos protocolos.
IPv4 IPv6
10.0.0.0/8
192.168.0.0/16
192.0.2.0/24
203.0.113.0/24
Não analisaremos todos, mas o Link Local e Multicast merecem nossa
atenção.
10
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
11
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
FF02::6 Todos os DR
E aqui eu quero fazer um adendo bem legal para aqueles que já tiveram que
caçar qual roteador está com DHCP ativo e soltando IP na rede, e assim, tendo que
desligar cabo a cabo até descobrir quem era o infeliz. Com o IPv6, isto não é mais
necessário. Agora, podemos enviar uma mensagem para FF05::3 e teremos uma
resposta de todos os servidores DHCP daquela rede. E que, de qualquer forma,
vamos receber um IP público!
Para finalizarmos, uma tabela comparando o tamanho da máscara entre o
IPv4 e IPv6 e qual a quantidade de endereços IP disponíveis, guarde-a com carinho,
pois verá que será bem útil:
/32 /128 1
/31 /127 2
/30 /126 4
/29 /125 8
/28 /124 16
/27 /123 32
/26 /122 64
12
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
SLAAC e ICMPv6
Vamos ver um pouco sobre o ICMPv6, algumas de suas mensagens, e
também, nossa primeira parte prática, onde finalmente descobriremos o que é e
como o SLAAC funciona.
SLAAC vem de Stateless Address Autoconfiguration, e permite que, tendo
um roteador IPv6 configurado com um prefixo de rede /64 fazendo Advertise, os
hosts configuram-se de forma automática. E para tanto, ele depende do ICMPv6.
O ICMPv6 é responsável por diversas funções dentro do IPv6, algumas já
vimos, como a fragmentação de pacotes e o próprio SLAAC. Outra função bastante
importante é a Descoberta de Vizinhança, na qual o SLAAC se baseia para a
configuração. Vamos estudar quatro mensagens principais da descoberta de
vizinhança:
● Router Solicitation (RS): mensagem enviada por dispositivos
perguntando se existem roteadores na rede e requisitando
informações como MTU e a própria auto configuração, pode partir de
uma RS.
● Router Advertisement (RA): mensagem enviada por roteadores
avisando que é um roteador da rede, pode partir de uma resposta da
mensagem RS ou de forma automática. Envia informações como DNS,
MTU, prefixo da rede. Guarde o último.
● Neighbor Solicitation (NS): mensagem enviada por um dispositivo
para receber informações do vizinho, como endereço MAC, ou até
13
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Cenário Prático
Para fazermos isto, temos o seguinte cenário:
14
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
15
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Planejamento
Antes de começar a ler este capítulo, deixe-me te adiantar:
● O planejamento de IPv6 é muito confuso no início: falta de costume
com o endereçamento, hexadecimais, maior quantidade de bits, tudo
isto torna complexa a compreensão do porque e como planejar o IPv6.
● Você precisará ler mais de uma vez.
● Você precisará buscar ajuda em outros artigos.
● Mas é essencial que você entenda como fazer.
Com certeza, o tópico de planejamento do IPv6 costuma ser o mais difícil de
ser ensinado, e particularmente para mim, foi o mais difícil de ser apreendido, foram
noites sem dormir até vir o estalo na mente e tudo começou a fazer sentido e ficar
óbvio. Então, se não entender, não se desespere.
Diferentemente do IPv4, o IPv6 precisa ser planejado antes de sua
implantação. Caso contrário, pode ser difícil e ter muitos retrabalhos… Digo isto por
experiência própria! Faremos o estudo com um cenário de provedor de internet e
divido em duas etapas: a primeira, via planilha e a outra, via software de
gerenciamento de IP.
E o que devemos planejar? Tudo. Começaremos pela última milha, o que
devemos levar em consideração aqui é: Qual a quantidade de clientes que
queremos colocar em cada concentrador? Esta consideração se faz necessária,
pois precisamos entregar dois endereços, um endereço na WAN do roteador - via
interface PPPoE - e outro para a LAN dele. Este processo de entrega de endereço
IP na LAN, chamamos de Prefix Delegation (PD).
16
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
17
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
phpIPAM
O intuito do ebook não é ensinar a instalar o phpIPAM, por este motivo, não
vou entrar nesses detalhes. O que vamos usar para mexer nele é a demo disponível
em ambiente de cloud, que os próprios desenvolvedores fornecem a partir do link:
https://demo.phpipam.net/login/.
Na tela inicial, contém as informações de login. Utilize as do usuário admin.
18
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Ao cair na seguinte tela, clique sobre Add subnet, e uma nova janela se
abrirá, com os parâmetros que precisamos configurar.
Se rolar esta janela para baixo, verá a opção Show as name, recomendo
que deixe-o marcado, pois assim, ao invés de aparecer como um endereço IP, igual
ao 435:123:32::/32 ao fundo, aparecerá identificado conforme você nomeá-lo.
19
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
20
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
21
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
22
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Agora vem o pulo do gato do POOL-WAN. Vamos supor que teremos até 15
concentradores nesta cidade, tudo bem? E cada um suportando até 4096 clientes,
já que separamos um dos blocos /44 para a infraestrutura. Pois bem, se vamos
entregar /64, precisamos separar um /52 por concentrador, para termos as 4096
redes.
Dentro de um /48 existem 16 redes /52, logo a conta fecha. E não só isso,
como é um /48 podemos anunciar ele via BGP de forma mais específica. Você deve
estar se perguntando a vantagem disso, certo?
A maior parte dos roteadores e ONTs hoje em dia vem com ping habilitado
na WAN, então, se algum cliente ou grupo de clientes reclamar que determinado
site não acessa, podemos fazer um anúncio mais específico e realizar testes direto
do roteador dele, sem afetar a navegação, já que o bloco da LAN não faz parte
desse /48.
23
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
24
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Configuração do BGP
De posse dos dados que a operadora te passou, com os pacotes de routing
e IPv6 ativos no Mikrotik, vamos fazer a configuração da sessão BGP. Como vimos
no cenário acima, recebemos o nosso link pela vlan 697, e o endereço de rede ficou
o 2007:1d2c::697:2/126. Então, vamos criá-la e adicionar o endereço IP nela.
Um detalhe a se notar aqui, é que o Mikrotik não funciona bem com redes
/127, da mesma forma que não funciona direito com redes /31 no IPv4. Caso a
25
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
operadora tenha te mandado um endereço nesta faixa de rede, o ideal é você pedir
que troquem. Mas pode ficar tranquilo, hoje em dia, dificilmente vemos ser entregue
em /127, até por conta da quantidade de Mikrotiks que dão trabalho.
Então a primeira coisa é configurar o IP e a VLAN no roteador de BGP.
Execute os seguintes comandos:
/interface vlan
add name vlan697-BGP-OPERADORA vlan-id=697 interface=ether1
/ipv6 address
add interface=vlan697-BGP-OPERADORA address=2007:1d2c::697:2/126
26
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Com esses filtros garantimos que apenas a rota default será instalada no
roteador, e que vamos fazer o anúncio apenas dos nossos blocos de IP no tamanho
de máscara que quisermos para o peer que quisermos.
27
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Uma breve explicação sobre as máscaras dos filtros, os /32, /33 e /34 são
para manipular o tráfego dos Upstreams, CDN, PTT conforme a necessidade, e
também para já deixar pronto caso aconteça alguma urgência. Já os de máscara /40
(cidades), /44 (concentradores) e /48 (WAN/Clientes) são, além de urgências,
destinados a testes, devendo ser editados conforme a necessidade.
Os comandos executados para chegar no resultado acima foram:
/routing filter
add action=accept chain=OPERADORA-V6-IN comment="ACEITA ROTA
DEFAULT" prefix=::/0
add action=discard chain=OPERADORA-V6-IN comment="DESCARTA TODO
O RESTO"
add action=accept chain=OPERADORA-V6-OUT comment="LIBERA
PREFIXO /32" prefix=2001:db8::/32
add action=accept chain=OPERADORA-V6-OUT comment="LIBERA
PREFIXO /33-1" disabled=yes prefix=2001:db8::/33
add action=accept chain=OPERADORA-V6-OUT comment="LIBERA
PREFIXO /33-2" disabled=yes prefix=2001:db8:8000::/33
add action=accept chain=OPERADORA-V6-OUT comment="LIBERA
PREFIXO /36-1" disabled=yes prefix=2001:db8::/34
add action=accept chain=OPERADORA-V6-OUT comment="LIBERA
PREFIXO /36-2" disabled=yes prefix=2001:db8:4000::/34
add action=accept chain=OPERADORA-V6-OUT comment="LIBERA
PREFIXO /36-3" disabled=yes prefix=2001:db8:8000::/34
add action=accept chain=OPERADORA-V6-OUT comment="LIBERA
PREFIXO /36-4" disabled=yes prefix=2001:db8:c000::/34
add action=accept chain=OPERADORA-V6-OUT comment="LIBERA
PREFIXO /40 - EDITAR" disabled=yes prefix=2001:db8::/40
add action=accept chain=OPERADORA-V6-OUT comment="LIBERA
PREFIXO /44 - EDITAR" disabled=yes prefix=2001:db8::/44
add action=accept chain=OPERADORA-V6-OUT comment="LIBERA
PREFIXO /48 - EDITAR" disabled=yes prefix=2001:db8::/48
add action=discard chain=OPERADORA-V6-OUT comment="DESCARTA
TODO O RESTO"
28
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
29
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
30
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Configuração de ponto-a-ponto
A configuração da conexão ponto-a-ponto entre as interfaces é algo básico,
que poderia ser omitido, mas como este ebook é um guia definitivo eu preciso
mostrar todo o passo a passo. Mas como o objetivo também é o de não encher
31
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
linguiça, vou deixar apenas os comandos necessários, sem prints das telas, apenas
do planejamento do phpIPAM:
EQUIPAMENTO COMANDO
32
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
EQUIPAMENTO COMANDO
Feito isso, vamos consultar nosso phpIPAM. Para verificar quais endereços
de Loopback nós vamos utilizar:
33
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
EQUIPAMENTO COMANDO
Configuração do OSPFv3
Vamos fazer uma definição do que são rotas e o que é o roteamento antes
de prosseguirmos para o OSPFv3.
● Rota: uma rota é a informação sobre o destino e por onde chegar.
Fazendo uma analogia aos correios, imagine que você despachou
uma encomenda de São Paulo para o Rio Grande do Sul. O CEP é
análogo ao endereço IP de destino, e a rota é a forma como o correio
34
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
35
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
36
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
37
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
38
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
39
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
1500 bytes. Como o PPPoE consome 8 bytes deste tamanho, devemos subtrair,
ficando com 1492 de tamanho máximo.
Se não estiver usando a CHR como concentrador, você pode deixar como
1492 sem problemas, pois em todas as Routerboard atuais, o L2MTU é maior que o
MTU, evitando fragmentações devido ao cabeçalho PPPoE, VLAN.
Via analisador de pacotes, é possível averiguar qual o tamanho de MTU
máximo que sua rede suporta. Pingue de um cliente final até sua borda,
aumentando o tamanho do pacote aos poucos e verifique se ocorre fragmentação.
Já o keepalive não precisamos mexer nele, pois o tempo é em segundos e
10 é o recomendado pelo próprio protocolo. Um parâmetro bem legal de ser
marcado é o One Session per Host, que impede que um endereço MAC faça
conexão com mais de um PPPoE.
Max Sessions são as quantidades totais de sessões que a interface irá
suportar, e o PADO delay serve para atrasar uma das mensagens trocadas durante
o início da conexão PPPoE. Ambas as opções são úteis apenas se você tiver
servidores redundantes, o que não é o nosso caso.
Agora nos modos de autenticação, o recomendado é desativar o modo pap,
já que o mesmo não garante segurança nenhuma, inclusive a senha do PPPoE é
enviada em texto claro. Todos os outros modos garantem que a senha nunca seja
trocada durante a autenticação.
Tanto o servidor quanto o cliente calculam uma hash entre as informações
de USUÁRIO+SENHA+CÓDIGO SECRETO e comparam entre si. Se a hash for
igual, significa que a senha cadastrada do lado do servidor é a mesma que a do
lado do cliente. O código secreto é gerado de forma aleatória pelo servidor, sendo
também chamado de magic number.
E com isso, já temos tudo pronto para autenticar os clientes com endereços
IPv6. Veremos, a seguir, como é feita a configuração em diversas CPE disponíveis
no mercado.
Se quiser conferir um vídeo onde eu faço a configuração do OSPFv3 na
prática, é só clicar no link: Configuração OSPFv3.
40
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Mikrotik
Com certeza o Mikrotik é o mais complicado de configurar. A grande
vantagem dele ser complicado, é que fica extremamente didático para ensinar a
lógica de como configurar qualquer CPE usando-o como exemplo.
Lembre-se que estamos enviando duas redes IPv6, uma para a WAN e
outra para a LAN. Para recebermos o endereço de WAN, devemos:
1. Como o Prefix Delegation é via DHCPv6, a configuração é feita no
DHCP Client do Mikrotik;
2. Marcamos a interface como sendo do túnel PPPoE, para receber um
prefixo de rede e a rota default;
3. Do tamanho do prefixo, informamos que será /64, este não é o
tamanho que o Mikrotik espera receber, mas sim o tamanho que ele
irá repassar;
4. E definimos um nome para o Pool que iremos receber.
Então, indo até a opção de DHCP Cliente do IPv6 e clicando para adicionar
um novo, cairemos nesta tela:
41
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Tenda HG9
Na ONT Tenda HG9, e em
várias outras que seguem o mesmo estilo de
firmware, a configuração é extremamente
simples. Na configuração da interface PPPoE,
marcamos para ela utilizar ambos protocolos
(IPv4/IPv6).
Já em IPv6 WAN Setting,
marcamos que o modo de endereçamento é
via SLAAC e que vamos requisitar um prefixo
de rede. E pronto! Não é preciso fazer mais
nada. Toda a configuração da LAN já vem
pronta e quem se conectar a este roteador pegará endereços IPv6.
42
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
TP-Link Archer C5
Intelbras IWR
Não tem roteador mais fácil de configurar o IPv6 do que a linha IWR da
Intelbras.
43
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
estamos fazendo a conexão pelo túnel PPPoE e não via DHCPv6 Server
diretamente.
Alguns outros modelos de roteadores também seguem a lógica da Intelbras,
portanto é sempre bom estar atento. A dica é:
● Se estiver configurando o IPv6 dentro da interface PPPoE o modo
será SLAAC.
● Se não estiver configurando o IPv6 dentro da interface PPPoE, ele
com certeza terá o modo PPPoE.
Na LAN, se tiver que configurar em algum, a lógica será sempre igual,
DHCPv6 Server entregando via Prefix Delegation.
44
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Pronto, temos nossas rotas filtradas. Por mais que na instância do OSPFv3
não apareça a opção de se usar filtros, por padrão, ele utiliza as chains ospf-in e
ospf-out. O importante é marcar a opção Address Family IPv6 nas regras, caso
contrário, suas rotas IPv4 também serão afetadas.
Após os filtros aplicados:
45
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Firewall
Ah, o Firewall, aquilo que todo mundo sabe que precisa, mas ninguém faz,
por preguiça ou por falta de conhecimento, quiçá medo de parar toda a rede. Mas
não se preocupe, eu irei te guiar e você verá ao final, que conhecendo os
fundamentos, assim como o IPv6, o Firewall não é nenhum bixo de sete cabeças.
Antes de tudo, dois comentários rápidos, o primeiro é que existe um modo
no RouterOS que é chamado de Safe Mode, ele pode ser ativado clicando no botão
no canto superior esquerdo ou pressionando CTRL+X na linha de comando. Neste
modo, caso você perca acesso ao roteador, ele desfaz as últimas configurações.
Mas lembre-se de desativá-lo para tornar as mudanças permanentes.
O segundo comentário, é que você perceberá que o Firewall do IPv6 é igual
ao IPv4.
O RouterOS pode usar tanto firewall stateless quanto stateful. A diferença é
que o stateful conhece o estado das conexões, criando uma tabela chamada de
Connection Track, e guardando informações de onde para onde. É necessário para
regras de NAT, por exemplo. A vantagem é que se uma conexão for permitida, todo
o fluxo é permitido, não precisando checar pacote por pacote.
Já o stateless não precisa desta tabela, mas todo o pacote que chegar no
roteador é comparado às regras de firewall, pois o roteador não conhece o estado
das conexões.
46
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
47
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
mesma forma, se você não tiver NAT, pode fazer todas as regras na aba Raw, caso
tenha, você pode usar o firewall stateful.
Protegendo o Roteador
Exemplo de configuração para proteção do roteador, utilizando Filter:
Protegendo os Clientes
Mais um exemplo de configuração utilizando a tabela Filter. Se a Connection
Track não estiver ativa, esta configuração de firewall não irá funcionar direito,
portanto, caso você deseje partir dessa configuração como exemplo e manter a
Connection Track desabilitada e remova a primeira regra do filter.
48
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
Criamos uma lista de endereços bogons, que são endereços inválidos para
trafegar na internet, como o 10.0.0.0/8 do IPv4. Então criamos a regra de aceite de
conexões estabelecidas e relacionadas e o drop dos pacotes contendo bogons,
juntamente com um bypass do firewall pela lista dos endereços IP confiáveis.
O próximo passo é dropar as portas que são vulneráveis, como a SSH,
TELNET, DNS, HTTP, SNMP, que os clientes finais normalmente não precisam
tê-las disponíveis. Caso algum cliente precise, você pode criar uma regra de accept
logo após o aceite de estabelecidas e relacionadas, colocando o endereço IP do
cliente como dst-address, ou através de uma lista que dará bypass no firewall.
Considerações finais
Chegando ao fim da leitura, espero ter conseguido desmistificar o protocolo
IPv6 para você. Na minha opinião, com certeza, a parte mais difícil não é implantar
o protocolo, mas sim fazer todo o planejamento da rede. Por experiência própria, o
executar do IPv6 sem planejar só lhe trará dor de cabeça.
49
Licensed to Alan Hudson Mendes Nery - amendesnery@yahoo.com.br - HP13916100312981
50