Firewall IPv6 básico no Cisco IOS para redes pequenas

Aqui está o que eu fiz. Funciona, embora eu não tenha certeza se é ideal. Sugestões bem-vindas!

interface IncomingTunnel0
 ipv6 traffic-filter exterior-in6 in
 ipv6 traffic-filter exterior-out6 out

interface LocalLan0
 ipv6 traffic-filter interior-in6 in
 ipv6 traffic-filter interior-out6 out

ipv6 access-list exterior-in6
 evaluate exterior-reflect sequence 1
 permit ipv6 any host EXTERNAL_ROUTER_ADDRESS sequence 10
 permit tcp any host INTERNAL_ROUTER_ADDRESS eq 22 sequence 11
 permit tcp any host INTERNAL_SERVER_ADDRESS eq 22 sequence 100
 permit icmp any any sequence 800
 deny ipv6 any any sequence 1000

ipv6 access-list exterior-out6
 sequence 10 permit ipv6 MY_ASSIGNED_SUBNET::/48 any reflect exterior-reflect

ipv6 access-list interior-in6
 permit ipv6 fe80::/10 any
 permit ipv6 INTERNAL_LAN_SUBNET::/64 any

ipv6 access-list interior-out6
 permit ipv6 any any

Para aqueles que não estão familiarizados com as listas de acesso reflexivas, é como você faz o rastreamento de conexão com estado. Em outras palavras, é o que permite que as respostas para as conexões de saída voltem para você.

Eu realmente recomendo usar inspeção em vez de listas de acesso reflexivas - por exemplo:

ipv6 inspect name IPV6FIREWALLINSPECT tcp
ipv6 inspect name IPV6FIREWALLINSPECT udp
ipv6 inspect name IPV6FIREWALLINSPECT icmp

int IncomingTunnel0
 ipv6 inspect IPV6FIREWALLINSPECT out
 ipv6 traffic-filter IPV6FIREWALL in

ipv6 access-list IPV6FIREWALL
 sequence 10 permit (explicit inbound traffic)
 sequence 20 deny ipv6 any any

Configuração muito mais limpa. A sessão ipv6 inspect irá mostrar-lhe todas as sessões de saída para as quais o tráfego de retorno é permitido.