🔥 Jak dodać firewall rules dla IPv6?
🌐 Wprowadzenie
W erze rosnącej adopcji IPv6 nie wystarczy już zabezpieczać sieci tylko dla IPv4. Protokół IPv6 działa równolegle i wymaga odrębnej konfiguracji zapory sieciowej (firewalla).
W tym artykule dowiesz się, jak dodać firewall rules dla IPv6, by Twoja sieć była bezpieczna, ale też funkcjonalna.
🧠 Czym różni się firewall dla IPv6?
IPv6 nie korzysta z NAT – każde urządzenie ma globalny adres IP. Oznacza to:
- 🔓 Większa ekspozycja na internet
- 🧱 Firewall jest jedyną linią obrony
- 🌐 Protokół IPv6 wymaga obsługi ICMPv6, ND (Neighbor Discovery), SLAAC itd.
Dlatego reguły muszą być precyzyjne, ale nie blokujące podstawowej komunikacji.
🛠 Gdzie dodaje się reguły firewall dla IPv6?
W zależności od platformy:
- Linux –
ip6tableslubnftables - OpenWRT – Luci (GUI) lub
/etc/config/firewall - MikroTik –
/ipv6 firewall filter - pfSense – GUI → Firewall → Rules → IPv6
- Windows –
New-NetFirewallRulew PowerShell
🔧 Przykłady konfiguracji firewall rules dla IPv6
🐧 Linux (ip6tables)
# Domyślnie blokuj wszystko
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT
# Zezwól na lokalne połączenia (loopback)
ip6tables -A INPUT -i lo -j ACCEPT
# Zezwól na ICMPv6 (ważne dla ND, SLAAC, RA)
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
# Zezwól na SSH z konkretnej sieci
ip6tables -A INPUT -p tcp --dport 22 -s fd00::/64 -j ACCEPT
📡 MikroTik
/ipv6 firewall filter
add chain=input protocol=icmpv6 action=accept comment="Allow ICMPv6"
add chain=input connection-state=established,related action=accept
add chain=input in-interface=ether1 action=drop comment="Drop others on WAN"
🌐 OpenWRT (w pliku konfiguracyjnym)
config rule
option name 'Allow-ICMPv6'
option family 'ipv6'
option proto 'icmp'
option target 'ACCEPT'
option src 'wan'
config rule
option name 'Allow-SSH-from-LAN'
option src 'lan'
option dest_port '22'
option proto 'tcp'
option target 'ACCEPT'
🪟 Windows (PowerShell)
New-NetFirewallRule -DisplayName "Allow ICMPv6" -Protocol ICMPv6 -Direction Inbound -Action Allow
New-NetFirewallRule -DisplayName "Allow SSH IPv6" -Direction Inbound -LocalPort 22 -Protocol TCP -RemoteAddress 2001:db8::/64 -Action Allow
📋 Lista zalecanych reguł IPv6
| Typ ruchu | Reguła | Uwagi |
|---|---|---|
| ICMPv6 | Allow | Niezbędne dla IPv6 (RA, ND, MLD) |
| Loopback | Allow | Pozwala aplikacjom działać lokalnie |
| Established/Related | Allow | Zezwala na odpowiedzi |
| Porty administracyjne | Allow z zaufanych źródeł | np. SSH, WinRM |
| Wszystko inne | Drop/Reject | Domyślna polityka bezpieczeństwa |
🧩 Najczęstsze błędy
❌ Brak ICMPv6 – IPv6 nie działa bez ICMPv6 (blokada = brak adresów lub tras)
❌ Zbyt szerokie zezwolenia – np. ACCEPT ALL na INPUT
❌ Niewłaściwa kolejność reguł – pierwsze pasujące są brane pod uwagę
❌ Brak reguł na interfejsach VLAN – nie wszystkie domyślnie dziedziczą ustawienia
🔐 Wskazówki bezpieczeństwa
- 🛡 Zawsze zaczynaj od polityki “drop by default”
- 👀 Monitoruj logi firewall (
log-accept,log-drop) - 📌 Regularnie przeglądaj otwarte porty (
nmap,netstat,ss) - 🔁 Testuj każdą regułę po dodaniu – np.
ping,curl,telnet
✅ Podsumowanie
Jak dodać firewall rules dla IPv6?
To kluczowa umiejętność w nowoczesnym zarządzaniu siecią. IPv6 wymaga innego podejścia niż IPv4, dlatego:
- Używaj reguł specyficznych dla IPv6
- Zawsze zezwalaj na ICMPv6
- Blokuj domyślnie wszystkie nieautoryzowane połączenia
- Testuj z różnych źródeł – lokalnie i zdalnie
Dzięki dobrze skonfigurowanemu firewallowi Twoja sieć IPv6 będzie funkcjonalna i bezpieczna.
MikroTik dla zaawansowanych — część 10: Dynamiczna segmentacja VLAN, NAC i Keycloak z MikroTik Wprowadzenie: Bezpieczeństwo od warstwy 2 Wraz Czytaj dalej
Cisco Service Password-Encryption – Zabezpieczenie Haseł w Routerach Cisco W konfiguracji sieci opartej na urządzeniach Cisco, bezpieczeństwo jest jednym z Czytaj dalej
