Каковы зарезервированные адресные пространства IPV6?

13

Я конвертирую свой старый добрый сценарий брандмауэра iptables на базе IPV4 и хотел бы заменить зарезервированные адресные пространства CLASS A / B / C / D / E на те, которые есть в IPV6. Моя цель состоит в том, чтобы запретить любые пакеты, которые отправляются с этих адресов, поскольку они не могут достичь общедоступной сети, поэтому они должны быть подделаны.

Я нашел это до сих пор, есть ли еще зарезервированные места, где никакие данные не могли бы прийти к веб-серверу IPV6?

Петля :: 1

Global Unicast (в настоящее время) 2000 :: / 3

Уникальный Локальный Unicast FC00 :: / 7

Link Local Unicast FE80 :: / 10

Multicast FF00 :: / 8

Jauzsika
источник

Ответы:

19
  • ::/8 - Зарезервировано - устаревший IPv4-совместимый ::/96
  • 0200::/7 - Зарезервированный
  • 0400::/6 - Зарезервированный
  • 0800::/5 - Зарезервированный
  • 1000::/4 - Зарезервированный
  • 2001:db8::/32 - Документация
  • 2002::/24 - 6to4 0.0.0.0/8
  • 2002:0a00::/24 - 6to4 10.0.0.0/8
  • 2002:7f00::/24 - 6to4 127.0.0.0/8
  • 2002:a9fe::/32 - 6to4 169.254.0.0/16
  • 2002:ac10::/28 - 6to4 172.16.0.0/12
  • 2002:c000::/40 - 6to4 192.0.0.0/24
  • 2002:c0a8::/32 - 6to4 192.168.0.0/16
  • 2002:c612::/31 - 6to4 198.18.0.0/15
  • 2002:c633:6400::/40 - 6to4 198.51.100.0/24
  • 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
  • 2002:e000::/20 - 6to4 224.0.0.0/4
  • 2002:f000::/20 - 6to4 240.0.0.0/4
  • 4000::/3 - Зарезервированный
  • 6000::/3 - Зарезервированный
  • 8000::/3 - Зарезервированный
  • a000::/3 - Зарезервированный
  • c000::/3 - Зарезервированный
  • e000::/4 - Зарезервированный
  • f000::/5 - Зарезервированный
  • f800::/6 - Зарезервированный
  • fc00::/7 - Уникальный Местный
  • fe00::/9 - Зарезервированный
  • fe80::/10 - Ссылка Локальная
  • fec0::/10- Локальный сайт (устарело, RFC3879 )
  • ff00::/8 - Multicast

См. RFC 5156 и список бронирования IANA для справки.

Шейн Мэдден
источник
2
IANA также поддерживает список зарезервированных префиксов (со ссылками на RFC) по адресу iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
voretaq7
@ voretaq7 Я нашел еще несколько, чтобы добавить. Сделал этот ответ сообществом вики - отредактируйте.
Шейн Мэдден
2
технически говоря, список 6to4 является неполным: любой адрес IPv4, который в настоящее время является поддельным, также должен рассматриваться как таковой в форме 6to4. Если для вас важна полная фильтрация богонов, вам следует ознакомиться со списком болот Team Cymru.
Олипро
7

Не блокировать произвольные адреса IPv6 , не действительно зная , что вы делаете. Стоп, это плохая практика. Это, безусловно, нарушит вашу связь так, как вы этого не ожидали. Через некоторое время вы увидите, что ваш IPv6 работает неправильно, затем вы начнете обвинять, что «IPv6 не работает» и т. Д.

Каким бы ни был ваш провайдер, ваш пограничный маршрутизатор уже знает, какие пакеты он может отправлять вам и какие пакеты принимать от вас (ваше беспокойство по поводу подделанных адресов совершенно беспочвенно), и ваша операционная система также знает, что делать с остальными. Все, что вы читали о написании правил брандмауэра 15 лет назад, сегодня уже не применимо.

В настоящее время всякий раз, когда вы получаете пакет с адреса в любом из этих диапазонов, который вы намереваетесь заблокировать, гораздо более вероятно, что он является законным пакетом, который вы неправильно блокируете, чем любая атака. Люди, которые управляют магистралью Интернета, имеют гораздо больше опыта, чем вы, и они уже выполнили свою домашнюю работу должным образом.

Кроме того, список зарезервированных блоков и что ожидать от каждого из них не установлен на скале. Они меняются со временем. Какие бы ожидания вы сегодня ни ожидали, завтра они не будут прежними, тогда ваш брандмауэр будет неправильным и нарушит вашу связь.

Брандмауэры должны защищать и контролировать то, что находится внутри вашей сети. Снаружи это постоянно меняющиеся джунгли.

Жулиано
источник
1
Вы говорите, что пакет с адресом источника из недопустимого или закрытого диапазона, скорее всего, будет законным, чем нет? К сожалению, это не совсем соответствует реальному миру; доверять каждому провайдеру во всем мире проверку обратного пути или фильтрацию адресов своих пиров по подделанному трафику от вашего имени наивно. Судя по количеству одноадресного трафика с поддельными источниками, которое я вижу на брандмауэрах каждый день, я действительно не думаю, что это беспокоит десятилетия назад. И мы все должны быть давно мертвы, прежде чем 2000::/3закончится свободное пространство ..
Шейн Мэдден
Да, дьявол никогда не спит :).
Jauzsika
1
Смотрите, например, tools.ietf.org/html/draft-fuller-240space-02 . Теперь у всех, кто имеет специальный корпус 240/4, есть теоретические проблемы.
Йоргенсен
1

Вы в основном получили это. Был также RFC для локальных адресов в fec0 :: / 10, но это устарело . Идея IPv6 заключается в том, что NAT больше не нужен, поэтому даже глобально маршрутизируемые адреса могут использоваться во внутренней сети. Вы просто настраиваете свой брандмауэр на блокировку, в зависимости от ситуации.

Кстати, даже в IPv4-классах земли больше не упоминаются. CIDR используется вместо этого.

Джеймс О'Горман
источник