Курс «Настройка оборудования MikroTik»
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Узнать подробности
Посмотреть MAC-адреса:
> /interface ethernet print
Посмотреть DUID можно в DHCPv6 Client, он начинается с «00030001» и далее идет MAC-адрес. Т.е. если MAC-адрес порта «AA:22:33:44:55:66» то DUID должен быть «00030001AA2233445566»
Открываем System → Packages. Если пакет ipv6 есть в списке — включаем его и перезагружаем роутер. Если нет — качаем с сайта, перетаскиваем в список пакетов, включаем, перезагружаем роутер.
Открываем IPv6 → DHCP Client и создаем новую запись:
Открываем IPv6 → Addresses и создаем новую запись:
После этого адрес ::/64 на интерфейсе bridge-local должен поменяться на полученный адрес из пула. Если этого не произошло, то следует перезапустить dhcpv6 client.
Теперь компьютеры из внутренней сети буду получать адреса IPv6 и маршруты.
Открываем IPv6 → Firewall
Базовые правила:
> /ipv6 firewall filter > add chain=input action=drop connection-state=invalid > add chain=input action=accept connection-state=established,related in-interface=YOUR-PROVIDER > add chain=forward action=accept connection-state=established,related in-interface=YOUR-PROVIDER out-interface=bridge-local > add chain=input action=accept protocol=icmpv6 limit=50,5 > add chain=forward action=accept protocol=icmpv6 limit=50,5 > add chain=input action=accept protocol=udp in-interface=YOUR-PROVIDER dst-port=546 > add chain=forward action=accept in-interface=bridge-local out-interface=YOUR-PROVIDER > add chain=input action=drop > add chain=forward action=drop
Где YOUR-PROVIDER — имя интерфейса провайдера
Объяснение строк:
2 строка: блокировать все «неправильные» соединения
3-4 строки: пропускать уже установленные соединения
5-6 строки: пропускать ICMP-пакеты, но ограничить лимит
7 строка: разрешить соединения от вашего провайдера по протоколу UDP на порт 546 — без этого правила вы не получите адрес IPv6 по DHCPv6 от провайдера
8 строка: пропускать все из вашей локальной сети в Интернет
9-10 строки: заблокировать все остальное
Applies to RouterOS: v3, v4 +
Summary
This example demonstrates how to set up your first IPv6 network using tunnel broker’s provided service.
Application Example
Consider following network setup:
Our main gateway (R1) has only IPv4 internet connectivity and ISP is not providing IPv6 services. Our network consists of two isolated network segments Lan1 and Lan2.
To enable IPv6 we will need to create a tunnel to IPv6 tunnel broker which will transit our IPv6 traffic over IPv4 network.
Tunnel broker
In this example we will use Hurricane Electric tunnel broker services.
After registration click on «Create regular tunnel», enter your IP address and choose closest server to your location. That’s it tunnel is now allocated.
Now go to tunnel details, where you will see all the parameters for successful tunnel creation and allocated IPv6 address block. As we have two separate lan segments we will need /48 address block, allocate it by clicking on «allocate».
Configuration
Here is whole configurations for those who want to copy&paste.
R1:
# ipv4 connectivity to ISP
/ip address
add address=194.105.56.170/24 interface=ether1
/ip route
add gateway=194.105.56.1
# ipv6 service
/interface 6to4
add comment="HE IPv6" local-address=194.105.56.170 mtu=1280 name=sit1 remote-address=\
216.66.80.90
/ipv6 address
add address=2001:470:27:37e::2/64 advertise=no eui-64=no interface=sit1
/ipv6 route
add dst-address=::/0 gateway=2001:470:27:37e::1
#Lan1
/ipv6 address
add address=2001:470:dcd9:1::1/64 advertise=yes interface=ether3
# routing between segments
/routing ospf-v3 instance
set default router-id=10.10.10.1 distribute-default=if-installed-as-type-1 \
redistribute-connected=as-type-1
/routing ospf-v3 interface
add area=backbone interface=ether2
R2:
#Lan2 /ipv6 address add address=2001:470:dcd9:2::1/64 advertise=yes interface=ether3 # routing between segments /routing ospf-v3 instance set default router-id=10.10.10.2 redistribute-connected=as-type-1 /routing ospf-v3 interface add area=backbone interface=ether1
IPv4 connectivity
IPv4 connectivity is needed only between ISP and our main gateway (R1), as our home network is going to be purely IPv6.
Set up ip address and route on R1:
/ip address add address=194.105.56.170/24 interface=ether1 /ip route add gateway=194.105.56.1
IPv6 tunnel service
Lets create 6to4 tunnel using parameters from HE provided tunnel details:
/interface 6to4
add comment="HE IPv6" local-address=194.105.56.170 mtu=1280 name=sit1 remote-address=\
216.66.80.90
Add provided IPv6 address and default route to tunnel broker.
/ipv6 address add address=2001:470:27:37e::2/64 advertise=no eui-64=no interface=sit1 /ipv6 route add dst-address=::/0 gateway=2001:470:27:37e::1
At this point router should be capable of reaching any IPv6 destination.
Lan segment address blocks
Next, we need to assign a subnet address from the /48 address block to two of our ethernet segments. Since the prefix length for IPv6 subnet is always /64, we have 65536 subnets available from /48 address block! Let’s just assign 2001:470:dcd9:1::/64 to Lan1, and 2001:470:dcd9:2::/64 to Lan2.
R1:
#Lan1 /ipv6 address add address=2001:470:dcd9:1::1/64 advertise=yes interface=ether3
R2:
#Lan2 /ipv6 address add address=2001:470:dcd9:2::1/64 advertise=yes interface=ether3
Notice, that advertise flag is enabled. It means that Stateless auto configuration is enabled and absolutely no address configuration is required on client side.
Routing between segments
We will use OSPF as the routing protocol between both routers. Notice that in IPv6 network additional addresses between routers are not required. Link-local addresses are used for connectivity between routers.
R1:
/routing ospf-v3 instance set default router-id=10.10.10.1 distribute-default=if-installed-as-type-1 \ redistribute-connected=as-type-1 /routing ospf-v3 interface add area=backbone interface=ether2
R2:
/routing ospf-v3 instance set default router-id=10.10.10.2 redistribute-connected=as-type-1 /routing ospf-v3 interface add area=backbone interface=ether1
When configuring OSPF on a network without configured IPv4, important configuration part is to set up router-id. Wen this parameter is not set, OSPF will try to get it from configured IPv4 addresses, if IPv4 address are missing process will fail and OSPF will not work.
At this point both LAN segments can reach Ipv6 Global network routed over 6to4 tunnel.
See Also
- Simple IPv6 routing example
[ Top | Back to Content ]
ipv6 mikrotik + rostelecom
IPv6 — новая версия интернет-протокола, призванная решить проблемы, с которыми столкнулась предыдущая версия при её использовании в Интернете, за счёт целого ряда принципиальных изменений. Протокол был разработан IETF. Длина адреса IPv6 составляет 128 бит, в отличие от адреса IPv4, длина которого равна 32 битам.
Вначале активируем пакет ipv6 в Mikrotik и перезагружаемся
System - Packages
System - Reboot
Добавляем запись в DHCPv6
IPv6 - DHCP ClientЗаполняем поля
Interface - ether1 (к которому подключен кабель от провайдера)
Request: address, perfix
Pool Name: любое имя, например ipv6-pool
Pool Prefix Lenght: 64
Use Peer DNS - отмечаем галкой (использовать DNS провайдера)
Add Default Route - отмечаем галкой
Проверяем, для этого заходим во вкладку Status
Selectel — ведущий провайдер облачной инфраструктуры и услуг дата-центров
Компания занимает лидирующие позиции на рынке на рынке выделенных серверов и приватных облаков, и входит в топ-3 крупнейших операторов дата-центров в России.
Включаем раздачу IPv6 в локалку
IPv6 - AddressesЗаполняем поля
Address: ::/64 - после того, как заполним остальные поля и нажмем ОК строчка поменяется
From Pool: ipv6-pool - то что указывали в прдыдущем этапе
Interface: bridge - наши локальные lan-порты
EUI64 - отмечаем галкой
Advertise - отмечаем галкой
Меняем запись в сервисе Neighbor Discovery
IPv6 - NDИзменяем текущую запись, или деактивируем ее и создаем новую
Interface: bridge
RA Interval: 20-60
RA Delay: 3
RA lifetime: 300
Hop Limit: 64
Advertise MAC Address - отмечаем галкой
Advertise DNS - отмечаем галкой
Other Configuration - отмечаем галкой
Добавляем запись в DHCPv6 Server
IPv6 - DHCP ServerЗаполняем поля
Name: любое имя, например my-dhcp
Interface: bridge
Address Pool6: ipv6-pool - то что добавляли в одном из первых шагов
Lease Time: 3d 00:00:00
Allow Dual Stack Queue - отмечаем галкой
Route Distance: 1
Настраиваем базовые правила Firewall для IPv6
IPv6 - Firewall
Быстрей это будет сделать через терминал
/ipv6 firewall filter
add chain=input action=drop connection-state=invalid
add chain=input action=accept connection-state=established,related in-interface=ether1
add chain=forward action=accept connection-state=established,related in-interface=ether1 out-interface=bridge
add chain=input action=accept protocol=icmpv6
add chain=forward action=accept protocol=icmpv6
add chain=input action=accept protocol=udp in-interface=ether1 dst-port=546
add chain=forward action=accept in-interface=bridge out-interface=ether1
add chain=input action=dropгде
2 строка: блокировать все «неправильные» соединения
3-4 строки: пропускать уже установленные соединения
5-6 строки: пропускать ICMP-пакеты, но ограничить лимит
7 строка: разрешить соединения от вашего провайдера по протоколу UDP на порт 546 - без этого правила вы не получите адрес IPv6 по DHCPv6 от провайдера
8 строка: пропускать все из вашей локальной сети в Интернет
9-10 строки: заблокировать все остальноеНастраиваем раздачу DNS роутером
IP - DNSЗаполняем поля (используем DNS от CloudeFlare)
Servers: 2606:4700:4700::1111
2606:4700:4700::1001
1.1.1.1
1.0.0.1
Dynamic Servers: выдал провайдер
Use DoH Server: https://1.1.1.1/dns-query - включаем DNS over HTTPS
Verify DoH Certificate - отмечаем галкой
Allow Remote Requests - отмечаем галкой
Max USP Packet Size: 4096
Query Server Timeoute: 2.000
Query Total Timeoute: 10.000
Max. Concurrent Queries: 100
Max. Concurrent Sessions: 20
Cache Size 2048
Cache Max TTL: 7d 00:00:00
Проверяем. Запускаем командную строку и выполняем
$ ping -6 ya.ru
Запускаем браузер и переходим на тестовую ipv6 страницу google
http://ipv6test.google.com
У блога появился новый хостинг от компании Selectel.
Нашли интересную или полезную информацию в блоге? Хотели бы видеть на нем еще больше полезных статей? Поддержи автора рублем.
Если вы размещаете материалы этого сайта в своем блоге, соц. сетях, и т.д., убедительная просьба публиковать обратную ссылку на оригинал.
Все ниже перечисленное не является утверждением, а лишь моим личным опытом и мнением.
Лирика. (для тех, кто наступит на те же грабли, переходя со старой прошивки на новую)
Потратил несколько дней вникая в понятия IPv6 и попытки настроить свой Mikrotik RB951G для работы в среде IPv6. При тестировании понял, что на прошивке 5-ой версии DNSv6 у меня вообще не получает. Перешел на прошивку v6.10 (последняя на сегодня). При первом запуске все вроде заработало, но потом все пинги встали колом. IPv6 получаю, DNSv6 получаю, маршруты появляются в таблице, но трафик ни в какую не шел. Было принято решение сделать полный сброс.
После полного сброса и быстрой настройки для тестирования IPv6, все заработало.
Настроил интерфейсы, IPv4, IPv6, импортировал необходимые разделы настроек из старой прошивки. Кусками импорт прошел успешно (Firewall, IGMP, DHCPv4 Server) и связь прекрасно сохранилась.
Практика.
Мой провайдер мне выдает настройки по DHCP с привязкой по MAC адресу, с этой «колокольни» я и буду рассматривать все дальнейшие манипуляции.
В IPv4 используется привязка адреса к MAC-адресу сетевого интерфейса.
В IPv6 используется привязка адреса к DUID-адресу. DUID – это уникальный идентификатор устройства, он один на все порты.
Он состоит из двух частей, в моем случае первая часть состоит из блока цифр «00030001» (похоже, что этот же блок встречается на многих устройствах, независимо от производителя), а вторая из MAC адреса одного из портов.
При каждом сбросе Mikrotik до заводских настроек генерирует новый DUID.
В Mikrotik пока нет возможности изменить DUID. Но есть возможность изменить MAC адрес.
А так как провайдер выдает настройки только после авторизации клиента по MAC для выдачи IPv4 и DUID для выдачи IPv6, нам нужно узнать DUID своего Mikrotik, и посмотреть какой MAC в нем используется.
И поставить этот MAC адрес на порт, на котором висит провайдер (у меня он назван WAN1).
Запускаем WinBox, подключаемся к Mikrotik, поехали.
Проверяем наличие IPv6 в Меню, если есть, идем к пункту 1.
Если его нет, то идем на сайт Mikrotik, скачиваем All packages текущей прошивки вашего Mikrotik, распаковываем, берем пакет ipv6 и перетаскиваем в окно WinBox. Проверяем в Меню > System > Packages. Перезагружаем Mikrotik.
1. Меню > IPv6 > DHCP Client – Добавляем клиента.
Interface: WAN1
(порт куда подключен провайдер)
Pool Name: planeta
(произвольное название, этот пул мы будем использовать в будущем)
Pool Prefix Length: 64
(префикс сети по умолчанию, так и оставляем)
Use Peer DNS: включаем
(чтобы получить и записать DNSv6 сервера)
Add Default Route: включаем
(автоматически добавит маршрут)
ОК.
Если DUID окончание совпадает с MAC адресом порта WAN1, то практически сразу увидим получение IPv6 пула адресов. Если так и случилось, переходим к пункту 3 — добавление адреса.
В противном случае будет висеть статус «Searching”.
2. Меняем MAC адрес WAN1 порта в соответствии с DUID.
Меню > New Terminal и выполняем:
/ipv6 dhcp-client print detail
Ищем в результате строку: duid=»00030001000c1234abc1″, где последние 12 символов «000c1234abc1» – и есть нужный нам MAC адрес (у вас он будет свой). Этот MAC адрес нужно установить на порт WAN1.
Но перед этим нужно посмотреть какому порту он принадлежит, и внести изменения, чтобы не было двух портов с одним MAC адресом.
В окне Terminal выполняем:
/interface ethernet print
получаем в ответ:
[admin@MikroTik] > /interface ethernet print
Flags: X — disabled, R — running, S — slave
# NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH
0 RS LAN1 1500 00:0C:12:34:AB:C1 enabled none switch1
1 RS LAN2 1500 00:0C:12:34:AB:C2 enabled LAN1 switch1
2 RS LAN3 1500 00:0C:12:34:AB:C3 enabled LAN1 switch1
3 RS LAN4 1500 00:0C:12:34:AB:C4 enabled LAN1 switch1
4 R WAN1 1500 00:0C:12:34:AB:C5 enabled none switch1
Видим, что это порт LAN1, меняем ему MAC адрес, например, на «00:0C:12:34:AB:C0«
В окне Terminal выполняем:
/interface ethernet set LAN1 mac-address=00:0C:12:34:AB:C0
Теперь можно присвоить нужный нам MAC (00:0C:12:34:AB:C1) порту WAN1
В окне Terminal выполняем:
/interface ethernet set WAN1 mac-address=00:0C:12:34:AB:C1
Теперь MAC порта WAN1 соответствует DUID.
Идем в Меню > IPv6 > DHCP Client и смотрим статус. После регистрации нового MAC адреса (подключение нового компьютера) у провайдера, на получение IPv6 адреса может уйти какое-то время, у моего провайдера уходит до 20 минут. (IPv4 при этом получает практически сразу)
3. Теперь нужно добавит IPv6 адрес роутеру и объявить IPv6 зону в локальную сеть.
Меню > IPv6 > Addresses – добавляем новый адрес
Address: ::/64
(можно назначить адрес из пула выделенного нам провайдером, в данном примере мы оставляем поле как есть.)
From Pool: planeta
(выбираем пул из списка, он появится в списке после получения настроек от провайдера в IPv6 — DHCP Client)
Interface: LAN1
(выбираем интерфейс-порт локальной сети, я привел пример LAN1, у вас это может быть bridge1)
EUI64: выключен
(будет присвоен первый адрес из пула, если включим — адрес будет сгенерирован на основе MAC и доп. алгоритмов)
Advertise: включаем
(объявить подсеть, чтобы компьютеры локальной сети (Interface: LAN1) могли автоматически получить IPv6 адреса из пула)
ОК.
После этого трафик должен успешно бегать по IPv6 как из терминала, так и из локальной сети.
Из терминала можно проверить с помощью команды:
/ping [resolve ipv6.google.com]
/ping [resolve ipv6.yandex.ru]
С компьютера из локальной сети можно протестировать
http://test-ipv6.com/ — тестирование работоспособности IPv6
https://mebsd.com/ipv6-ping-and-traceroute — проверить входящий ping на свои адреса
4. Защита локальной сети с белыми IPv6 адресами от нежелательного входящего трафика.
Тут все на ваше усмотрение, мне легче контролировать входящий трафик на роутере, чем на каждом компьютере в локальной сети.
В окне Terminal пишем:
/ipv6 firewall filter
add chain=forward comment=»Web, Torrent» dst-address=2a02:17d0:1234:abcd::1/128 dst-port=80,62562 protocol=tcp
add chain=forward comment=»Incoming ICMP — Ping» protocol=icmpv6
add chain=forward comment=»DHCPv6 Client» dst-port=546 in-interface=WAN1 protocol=udp
add chain=forward comment=»Current traffic» connection-state=established
add chain=forward connection-state=related
add action=drop chain=forward comment=»Block any other traffic» in-interface=WAN1
где 2a02:17d0:1234:abcd::1/128 – IPv6 адрес вашего компьютера в локальной сети.
Открываем Меню > IPv6 > Firewall > Вкладка Filter Rules и проверяем наши добавленные правила.
Проблемы и их решения:
1. DNS сервера сбрасываются на роутере.
После успешного получения всех настроек по IPv6 на прошивке 6.10 заметил одну особенность. К сожалению, Mikrotik не в состоянии разделять понятия DNS IP4 и IP6, для него это одно и то же, а также — кто последний тот и «папа».
Делаем сброс (Release, Renew) на интерфейсе IPv4 (DHCPv4 Client) – теряем все прошлые записи DNS и получаем новые IPv4 серверов.
Делаем сброс (Release, Renew) на интерфейсе IPv6 (DHCPv6 Client) – теряем все прошлые записи DNS и получаем новые IPv6 серверов.
Решение: Получаем по очереди все записи, и прописываем их вручную в IP — DNS, сначала IPv4, потом IPv6. После этого, я думаю, можно отключить автоматическое получение настроек DNS серверов для IPv6 интерфейса (IPv6 — DHCP Client — снять галочку «Use Peer DNS»).
Исправлено в прошивке 6.15
Теперь DNS адреса IPv4 и IPv6 по DHCP получает раздельно, не затирая настройки друг друга.
2. Связь по IPv6 пропадает после изменения некоторых настроек.
Тоже очень странная и не понятная мне особенность.
Все настроили – все работает. Компьютеры в сети получили IPv6 адреса, трафик у них забегал, Ping-и идут. Берем и делаем в Mikrotik сброс DHCP Client (Release, Renew) на любом интерфейсе (IPv4 или IPv6). Mikrotik получает те же настройки что и были ранее, те же маршруты. Трафик на нем начинает бегать, все как и должно быть. А вот на клиентах в сети, трафик по IPv6 встает. Ping не идет даже до IPv6 Mikrotik. При этом IPv4 весь трафик прекрасно ходит.
Решение: После всех настроек, сбросов и т.п. идем в меню IPv6 – Addresses – выключаем и включаем основной адрес полученный от провайдера (пул которого объявлен в локальную сеть). На клиентах в локальной сети трафик тут же начинает бегать.
Благо при перезагрузке Mikrotik такой проблемы нет. Самопроизвольно эта проблема у меня пока не проявлялась
.
Исправлено в прошивке 6.15
Теперь после смены настроек адресов на интерфейсе связь сохраняется.
3. DHCPv6 Server не раздает IPv6 адреса Windows клиентам локальной сети.
Каких попыток только не предпринимал, сколько не google-ил, сколько не читал wiki и статей, так и не смог его настроить. Windows не получал IPv6 настроек от роутера.
Решение: Не использовать IPv6 — DHCP Server. В меню IPv6 – Addresses – в настройках адреса (префикса) провайдера, ставим галочку «Advertise» (Объявить) и выбираем интерфейс локальной сети. После этого в локальной сети Windows клиенты получат белые IPv6 адреса и маршрут.
К сожалению, организовать привязку в локальной сети IPv6 – Компьютер (MAC, DUID) в этом случае не представляется возможным. Все компьютера будут автоматически получать IPv6 сгенерированный на основе префикса и MAC адреса.
Остается возможность использовать ручную настройку IPv6 у клиента локальной сети. В этом случае можно использовать любой адрес из пула.
4. Mikrotik не раздает полноценно клиентам локальной сети DNS сервера IPv6.
Клиенты локальной сети получают все реквизиты для работы в среде IPv6 кроме DNSv6. Для разрешения имен используется как правило локальный адрес маршрутизатора DNSv4.
Решение: Смириться с DNS сервером IPv4 или прописать ручками на стороне клиента DNSv6 адрес роутера или провайдера.
If your ISP offers IPv6 and you have Mikrotik router, it would be shame not to make use of it. My setup assumes you get /64 prefix from your ISP (Comcast in my case) via DHCPv6. Also assumed is empty IPv6 configuration.
First I like to disable default neighbor discovery interface. Blasting IPv6 router advertisements on all intefaces is not necessarily a good idea:
/ipv6 nd
set [ find default=yes ] disabled=yesNext step is to setup DHCP client. Withing a few seconds, you should see the prefix being allocated:
/ipv6 dhcp-client
add add-default-route=yes interface=ether1 pool-name=general-pool6 request=prefix
:delay 5s
print
Flags: D - dynamic, X - disabled, I - invalid
# INTERFACE STATUS REQUEST PREFIX
0 ether1 bound prefix 2601:600:9780:ee2c::/64, 3d14h41m41sAt this time I love to allocate address ending with ::1 to the router itself:
/ipv6 address
add address=::1 from-pool=general-pool6 interface=bridge1 advertise=yesNow it should be possible to ping its address from external computer (in this example address would be 2601:600:9780:ee2c::1). If this doesn’t work, do check if you have link-local addresses. If none are present, reboot the router and they will be regenerated.
With router reachable, it is time to delegate IPv6 prefix to internal machines too. For this purpose, setup RA (router announcement) over the bridge. While default interval settings are just fine, I like to make them a bit shorter (20-60 seconds):
/ipv6 nd
add interface=bridge1 ra-interval=20s-60sAnd that’s all. Now your computers behind the router will have direct IPv6 route to the Internet. Do not forget to setup both router firewall and firewall of individual devices. There is no NAT to save your butt here.
PS: Here is the basic IPv6 firewall allowing all connections out while allowing only established back in:
/ipv6 firewall filter
add chain=input action=drop connection-state=invalid comment="Drop (invalid)"
add chain=input action=accept connection-state=established,related comment="Accept (established, related)"
add chain=input action=accept in-interface=ether1 protocol=udp src-port=547 limit=10,20:packet comment="Accept DHCP (10/sec)"
add chain=input action=drop in-interface=ether1 protocol=udp src-port=547 comment="Drop DHCP (>10/sec)"
add chain=input action=accept in-interface=ether1 protocol=icmpv6 limit=10,20:packet comment="Accept external ICMP (10/sec)"
add chain=input action=drop in-interface=ether1 protocol=icmpv6 comment="Drop external ICMP (>10/sec)"
add chain=input action=accept in-interface=!ether1 protocol=icmpv6 comment="Accept internal ICMP"
add chain=input action=drop in-interface=ether1 comment="Drop external"
add chain=input action=reject comment="Reject everything else"
add chain=output action=accept comment="Accept all"
add chain=forward action=drop connection-state=invalid comment="Drop (invalid)"
add chain=forward action=accept connection-state=established,related comment="Accept (established, related)"
add chain=forward action=accept in-interface=ether1 protocol=icmpv6 limit=20,50:packet comment="Accept external ICMP (20/sec)"
add chain=forward action=drop in-interface=ether1 protocol=icmpv6 comment="Drop external ICMP (>20/sec)"
add chain=forward action=accept in-interface=!ether1 comment="Accept internal"
add chain=forward action=accept out-interface=ether1 comment="Accept outgoing"
add chain=forward action=drop in-interface=ether1 comment="Drop external"
add chain=forward action=reject comment="Reject everything else"