<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div><br></div><a href="https://tools.ietf.org/html/rfc7526">https://tools.ietf.org/html/rfc7526</a><br><br><div id="AppleMailSignature" dir="ltr"><div>- Mark</div></div><div dir="ltr"><br>On 14 May 2019, at 17:24, Amos Rosenboim <<a href="mailto:amos@oasis-tech.net">amos@oasis-tech.net</a>> wrote:<br><br></div><blockquote type="cite"><div dir="ltr">

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style>


<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt">Hello,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">As we are trying to tighten the security for IPv6 traffic in our network, I was looking for a reference IPv6 ingress filter.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">I came up with Job Snijders suggestion (thank you Job) that can be conveniently found at whois -h <a href="http://whois.ripe.net">whois.ripe.net</a> fltr-martian-v6<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">After applying the filter I noticed some traffic from 6to4 addresses (2002::/16) to our native IPv6 prefixes (residential users in this case).<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">The traffic is a mix of both UDP and TCP but all on high port numbers on both destination and source.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">It seems to me like some P2P traffic, but I really can’t tell.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">This got me thinking, why should we filter these addresses at all ?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">I know 6to4 is mostly dead, but is it inherently bad ?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">And if so, why is the prefix (2002::/16) still being routed ?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Thanks,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Amos Rosenboim<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">-- <o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>


</div></blockquote></body></html>