<p dir="ltr"></p>
<p dir="ltr">Sent from ipv6-only Android<br>
On Nov 30, 2012 2:50 AM, &lt;<a href="mailto:Guillaume.Leclanche@swisscom.com">Guillaume.Leclanche@swisscom.com</a>&gt; wrote:<br>
&gt;<br>
&gt; &gt; I have my personal and clear opinion about the matter, which is off. To be<br>
&gt; &gt; able to uphold the true end to end connectivity it must obviously be off. I<br>
&gt; &gt; think the application firewall on the new OS&#39;s that support IPv6 are more<br>
&gt; &gt; than good enough, and a firewall in the CPE is redundant.<br>
&gt; &gt;<br>
&gt; &gt; However, the arguments against is that the customer is used to having a<br>
&gt; &gt; security layer on IPv4 in the CPE (NAT), and it would be bad to allow IPv6<br>
&gt; &gt; unprotected into the customers LAN.<br>
&gt;<br>
&gt; I have not read the whole thread, so somebody might have answered already.<br>
&gt;<br>
&gt; One year ago, we had the exact same problem (Swiss incumbent, 6rd). And we asked the exact same question on this list.<br>
&gt;<br>
&gt; We finally agreed with our CPE vendors to implement a 3 -level firewall for IPv6:<br>
&gt; - off =&gt; no firewall at all -- except sanity filters from RFC<br>
&gt; - low =&gt; a list of 60 well-known ports is blocked in incoming direction (things like ssh, telnet, remote desktop, vnc, etc.). Some are blocked both ways (mdns, dhcpv6, ipp, NetBIOS, SQL, etc.). Everything else is open both ways.<br>

&gt; - high =&gt; All incoming new connections are blocked, firewall is stateful (simulated IPv4 NAT44 security)<br>
&gt;<br>
&gt; In addition, the firewall can be tuned as much as desired by the customer.<br>
&gt;<br>
&gt; You guessed it, default is &quot;low&quot;, and it makes both marketing and engineering happy. We started the deployment one year ago and we have now almost 100&#39;000 residential connections with IPv6 enabled, and counting. I&#39;ve not heard of any complaints.<br>

&gt;</p>
<p dir="ltr">I like your approach.  I think it is a solid balance of marketing cya and  technically sound stateless security controls at &quot;low&quot; that are default. </p>
<p dir="ltr">Great data point. Thanks for sharing.  Do you have details somewhere published of exactly what is covered in &quot;low&quot;</p>
<p dir="ltr">CB </p>
<p dir="ltr">&gt; On the other hand, Free in France doesn&#39;t have any firewall and I don&#39;t think anybody complained either.<br>
&gt;<br>
&gt; Best regards,<br>
&gt; Guillaume<br>
&gt;<br>
&gt;<br>
</p>