Я конвертирую свой старый добрый сценарий брандмауэра iptables на базе IPV4 и хотел бы заменить зарезервированные адресные пространства CLASS A / B / C / D / E на те, которые есть в IPV6. Моя цель состоит в том, чтобы запретить любые пакеты, которые отправляются с этих адресов, поскольку они не могут достичь общедоступной сети, поэтому они должны быть подделаны.
Я нашел это до сих пор, есть ли еще зарезервированные места, где никакие данные не могли бы прийти к веб-серверу IPV6?
Петля :: 1
Global Unicast (в настоящее время) 2000 :: / 3
Уникальный Локальный Unicast FC00 :: / 7
Link Local Unicast FE80 :: / 10
Multicast FF00 :: / 8
networking
iptables
ipv6
Jauzsika
источник
источник
Не блокировать произвольные адреса IPv6 , не действительно зная , что вы делаете. Стоп, это плохая практика. Это, безусловно, нарушит вашу связь так, как вы этого не ожидали. Через некоторое время вы увидите, что ваш IPv6 работает неправильно, затем вы начнете обвинять, что «IPv6 не работает» и т. Д.
Каким бы ни был ваш провайдер, ваш пограничный маршрутизатор уже знает, какие пакеты он может отправлять вам и какие пакеты принимать от вас (ваше беспокойство по поводу подделанных адресов совершенно беспочвенно), и ваша операционная система также знает, что делать с остальными. Все, что вы читали о написании правил брандмауэра 15 лет назад, сегодня уже не применимо.
В настоящее время всякий раз, когда вы получаете пакет с адреса в любом из этих диапазонов, который вы намереваетесь заблокировать, гораздо более вероятно, что он является законным пакетом, который вы неправильно блокируете, чем любая атака. Люди, которые управляют магистралью Интернета, имеют гораздо больше опыта, чем вы, и они уже выполнили свою домашнюю работу должным образом.
Кроме того, список зарезервированных блоков и что ожидать от каждого из них не установлен на скале. Они меняются со временем. Какие бы ожидания вы сегодня ни ожидали, завтра они не будут прежними, тогда ваш брандмауэр будет неправильным и нарушит вашу связь.
Брандмауэры должны защищать и контролировать то, что находится внутри вашей сети. Снаружи это постоянно меняющиеся джунгли.
источник
2000::/3
закончится свободное пространство ..Вы в основном получили это. Был также RFC для локальных адресов в fec0 :: / 10, но это устарело . Идея IPv6 заключается в том, что NAT больше не нужен, поэтому даже глобально маршрутизируемые адреса могут использоваться во внутренней сети. Вы просто настраиваете свой брандмауэр на блокировку, в зависимости от ситуации.
Кстати, даже в IPv4-классах земли больше не упоминаются. CIDR используется вместо этого.
источник