Meu modem U-Verse tem algo chamado "Reflexive ACL" descrito como
Reflexive ACL: When IPv6 is enabled, you can enable Reflexive Access Control Lists to deny inbound IPv6 traffic unless this traffic results from returning outgoing packets (except as configured through firewall rules).
Isso parece ser uma boa maneira de evitar a necessidade de manter um firewall em cada computador atrás do roteador que recebe um endereço IPv6. Soa como um NAT, que para minha pequena rede doméstica é tudo o que eu quero agora.
Agora meu modem é um roteador, então estou no processo de configurar um roteador do OpenBSD para fazer isso. Eu tenho IPv6 suportado e tudo isso e meu roteador OpenBSD distribuirá endereços IPv6 pelo rtadvd. Agora, quero impedir que as pessoas tenham acesso instantâneo à minha rede local por meio do IPv6.
Como eu faria melhor algo como o Reflexive ACL com pf no OpenBSD 5.0?
Isso fará:
pass on $int_if all
pass out on $ext_if all
block in on $ext_if all
Isso passará todo o tráfego, exceto na interface externa, onde todos os pacotes recebidos serão descartados. O OpenBSD é stateful por padrão, então permitirá pacotes se ele corresponder a uma conexão existente.
Isso soa como filtragem de estado para mim.
A página do manual do pf.conf do OpenBSD diz o seguinte sobre manter o estado:
By default pf(4) filters packets statefully: the first time a packet matches a pass rule, a state entry is created. The packet filter examines each packet to see if it matches an existing state. If it does, the packet is passed without evaluation of any rules. After the connection is closed or times out, the state entry is automatically removed.
pf manterá estado por padrão.