パケットフィルタリング IPv6には「NATが無い」ことがメリットとして語られることが多々ありますが(*1)、NATが無いことにはデメリットもついてきます。それは、NAT配下では自然と禁止されていた外部から内部ネットワークへのアクセスが可能になってしまうことです。 しかし、内向きのアクセスをブロックする手段はNATだけではありません。IPv6では、NAT相当のセキュリティはパケットフィルタを使って実現することが推奨されています。以下、具体的な設定を見てゆきましょう。 まず、LANからインターネット方向の通信は許可し、逆方向の通信は禁止するフィルタを書いてみます。 filter6 add OUTGOING interface pppoe0 direction out action pass state enable filter6 add BLOCK_IN interface pppoe0