Я конвертирую свой старый добрый скрипт брандмауэра iptables на основе IPV4 и хотел бы заменить зарезервированные адресные пространства CLASS A / B / C / D / E на те, которые есть в IPV6. Моя цель - запретить любые пакеты, исходящие с этих адресов, поскольку они не могут попасть в общедоступную сеть, поэтому их необходимо подделать.
Я нашел их до сих пор, есть ли еще зарезервированные места, где данные не могут поступать на веб-сервер IPV6?
Петля :: 1
Global Unicast (в настоящее время) 2000 :: / 3
Уникальная локальная одноадресная передача FC00 :: / 7
Link Local Unicast FE80 :: / 10
Многоадресная передача FF00 :: / 8
::/8
- Зарезервировано - поддержка IPv4 не рекомендуется. ::/96
0200::/7
- Зарезервированный0400::/6
- Зарезервированный0800::/5
- Зарезервированный1000::/4
- Зарезервированный2001:db8::/32
- Документация2002::/24
- 6to4 0.0.0.0/82002:0a00::/24
- 6to4 10.0.0.0/82002:7f00::/24
- 6to4 127.0.0.0/82002:a9fe::/32
- 6to4 169.254.0.0/162002:ac10::/28
- 6to4 172.16.0.0/122002:c000::/40
- 6to4 192.0.0.0/242002:c0a8::/32
- 6to4 192.168.0.0/162002:c612::/31
- 6to4 198.18.0.0/152002:c633:6400::/40
- 6to4 198.51.100.0/242002:cb00:7100::/40
- 6to4 203.0.113.0/242002:e000::/20
- 6to4 224.0.0.0/42002:f000::/20
- 6to4 240.0.0.0/44000::/3
- Зарезервированный6000::/3
- Зарезервированный8000::/3
- Зарезервированныйa000::/3
- Зарезервированныйc000::/3
- Зарезервированныйe000::/4
- Зарезервированныйf000::/5
- Зарезервированныйf800::/6
- Зарезервированныйfc00::/7
- Уникальный местныйfe00::/9
- Зарезервированныйfe80::/10
- Link Localfec0::/10
- Site Local (устарело, RFC3879)ff00::/8
- многоадресная передачаВидеть RFC 5156 и Список резервирования IANA для справки.
Не блокировать произвольные адреса IPv6 без действительно зная, что вы делаете. Стоп, это плохая практика. Это, безусловно, нарушит ваше соединение неожиданным образом. Некоторое время спустя вы увидите, что ваш IPv6 работает некорректно, затем вы начнете обвинять в том, что «IPv6 не работает» и т. Д.
Каким бы ни был ваш интернет-провайдер, ваш пограничный маршрутизатор уже знает, какие пакеты он может отправлять вам и какие пакеты принимать от вас (ваше беспокойство по поводу поддельных адресов совершенно необоснованно), и ваша операционная система также знает, что делать с остальными. Все, что вы читали о написании правил брандмауэра 15 лет назад или около того, сегодня не применимо.
В настоящее время всякий раз, когда вы получаете пакет с адреса в любом из этих диапазонов, который вы собираетесь заблокировать, вероятность того, что вы ошибочно блокируете легитимный пакет, гораздо выше, чем какой-либо атаки. Люди, которые управляют опорой Интернета, имеют гораздо больше опыта, чем вы, и они уже сделали свою домашнюю работу должным образом.
Также не задан список зарезервированных блоков и чего ожидать от каждого из них. Они меняются со временем. Какие бы ожидания у вас ни были сегодня, завтра они уже не будут прежними, тогда ваш брандмауэр будет неправильным и нарушит ваше соединение.
Брандмауэры должны защищать и контролировать то, что находится на внутри вашей сети. Снаружи - постоянно меняющиеся джунгли.
Вы в основном это получили. В fec0 :: / 10 также был RFC для локальных адресов сайта, но это устарел. Идея IPv6 заключается в том, что NAT больше не нужен, поэтому даже адреса с глобальной маршрутизацией могут использоваться во внутренней сети. Вы просто настраиваете свой брандмауэр на блокировку по мере необходимости.
Кстати, даже в IPv4-land классы больше не упоминаются. CIDR вместо этого используется.