<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from text --><style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<meta content="text/html; charset=utf-8">
<meta name="x_Generator" content="Microsoft Word 15 (filtered medium)">
<style>
<!--
@font-face
        {font-family:"Cambria Math"}
@font-face
        {font-family:Calibri}
p.x_MsoNormal, li.x_MsoNormal, div.x_MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif}
a:x_link, span.x_MsoHyperlink
        {color:blue;
        text-decoration:underline}
a:x_visited, span.x_MsoHyperlinkFollowed
        {color:#954F72;
        text-decoration:underline}
.x_MsoChpDefault
        {}
@page WordSection1
        {margin:72.0pt 72.0pt 72.0pt 72.0pt}
div.x_WordSection1
        {}
-->
</style>
<div lang="EN-CA" link="blue" vlink="#954F72">
<div class="x_WordSection1">
<p class="x_MsoNormal">Corporate and/or specific network requirements notwithstanding, in my opinion this is just another example of why in IPv6, firewalls in general could/should be retired. If the end user device is required to be responsible for it’s own
 security, it can open the necessary ports via whatever firewall API it provides to applications running on it.</p>
<p class="x_MsoNormal">&nbsp;</p>
</div>
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="x_divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> ipv6-ops-bounces&#43;kristian.mccolm=rci.rogers.com@lists.cluenet.de &lt;ipv6-ops-bounces&#43;kristian.mccolm=rci.rogers.com@lists.cluenet.de&gt; on behalf
 of Doug McIntyre &lt;merlyn@geeks.org&gt;<br>
<b>Sent:</b> Monday, December 11, 2017 10:22:39 AM<br>
<b>To:</b> ipv6-ops@lists.cluenet.de<br>
<b>Subject:</b> Re: UPnP/IPv6 support in home routers?</font>
<div>&nbsp;</div>
</div>
</div>
<font size="2"><span style="font-size:10pt;">
<div class="PlainText">On Mon, Dec 11, 2017 at 04:03:27PM &#43;0100, Gert Doering wrote:<br>
&gt; On Mon, Dec 11, 2017 at 11:54:15AM &#43;0000, Tom Hill wrote:<br>
&gt; &gt; &quot;Dear Gateway, I am definitely not a compromised host, please open all<br>
&gt; &gt; ports toward me.&quot;<br>
&gt; <br>
&gt; But that's the whole idea of UPnP or IGD.&nbsp; Whether you open one port or<br>
&gt; all of them, on request of a possibly-compromised host, is of no relevance.<br>
<br>
<br>
I think the thinking is that since most IPv4 &quot;home&quot; protocols (which<br>
is really only where UPnP exists, since Enterprise class firewalls<br>
almost never want to have anything to do with it), is that most of the<br>
&quot;home&quot; protocols (eg. games, streaming, etc) have mostly converged to<br>
a model not expecting end-to-end connectivity, and hidden behind a NAT<br>
thing, that anything now transitioning to IPv6 will follow suit when<br>
they add that support to whatever needs to punch holes in things,<br>
instead checking in constantly with the &quot;central server&quot; instead of<br>
assuming end-to-end connectivity.<br>
<br>
That said, I think the IPv6 firewalls need better home connectivity<br>
support as well. I once put in a ticket to Fortinet to ask if there<br>
could be made an ACL object that tracked the prefix mask delivered via<br>
DHCP6_PD, such that we could write policies such as<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; allow remote_ipv6_address ${PREFIX1}::1f5d:50 22<br>
<br>
But that couldn't be impressed on the first tiers of support<br>
what-so-ever.&nbsp; That totally confused them to no end. Unlike my IPv4<br>
address which almost never changes at Comcast, the IPv6 prefixes I get<br>
change on every connection. <br>
<br>
</div>
</span></font><br>
<br>
<br>
<br>
<hr width="100%">
This communication is confidential. We only send and receive email on the basis of the terms set out at
<a href="http://www.rogers.com/web/content/emailnotice">www.rogers.com/web/content/emailnotice</a><br>
<br>
<br>
<br>
Ce message est confidentiel. Notre transmission et réception de courriels se fait strictement suivant les modalités énoncées dans l’avis publié à
<a href="http://www.rogers.com/aviscourriel
">www.rogers.com/aviscourriel </a>
<hr width="100%">
</body>
</html>