У меня есть раздел на веб-сайте, который блокирует доступ ко всем IP-адресам, кроме тех, которые внесены в белый список. Для IPv4 это очень просто, потому что даже с динамическими IP-адресами они обычно не меняются в течение месяцев или даже лет.
Однако с IPv6 они, кажется, меняются каждые 24 часа или около того. Это означает, что я не могу просто внести исходный IPv6 IP в белый список и назвать его хорошим, потому что он снова изменится слишком быстро. Поэтому мне нужно внести в белый список весь диапазон. Даже после того, как я прочитал и протестировал IPv6 за последние пару дней, я все еще не уверен, что справился с этим.
Вот что у меня есть:
order deny,allow
allow from 1234:123:4567:ab1::/64
deny from all
Первые 4 раздела IP-адреса никогда не меняются, но последние 4 раздела постоянно меняются. Это правильный способ занести индивидуальный IP-адрес в белый список в данном контексте?
Используя IPv6, вы должны начать думать с точки зрения подсетей, а не отдельных IP-адресов. Подсеть A / 64 назначается физической LAN (или VLAN), и узлам в этой подсети могут быть назначены адреса в этой подсети различными способами, и они могут произвольно изменять их, если настроены для этого (например, адреса конфиденциальности).
Невозможно быть уверенным, что два разных IPv6-адреса в подсети соответствуют одному и тому же компьютеру, но вы можете быть достаточно уверены, что данный IPv6 / 64 соответствует подсети и, конечно, всем хостам в ней.