IPV6 không gian địa chỉ dành riêng là gì?

13

Tôi đang chuyển đổi tập lệnh tường lửa iptables dựa trên IPV4 cũ của mình và muốn thay thế các không gian địa chỉ dành riêng của lớp A / B / C / D / E thành các không gian địa chỉ được tìm thấy trong IPV6. Mục tiêu của tôi là từ chối bất kỳ gói tin nào có nguồn gốc từ các địa chỉ này, vì chúng không thể truy cập mạng công cộng, vì vậy chúng phải bị giả mạo.

Tôi đã tìm thấy những thứ này cho đến nay, có còn chỗ trống nào nữa không, nơi không có dữ liệu nào có thể đến với máy chủ web IPV6?

Vòng lặp lại :: 1

Global Unicast (hiện tại) 2000 :: / 3

FC00 địa phương độc đáo :: / 7

Liên kết Local Unicast FE80 :: / 10

Multicast FF00 :: / 8

networking  iptables  ipv6 
Kim ngân
nguồn

Câu trả lời:

19
  • ::/8 - Dành riêng - không tương thích với IPv4 ::/96
  • 0200::/7 - Kín đáo
  • 0400::/6 - Kín đáo
  • 0800::/5 - Kín đáo
  • 1000::/4 - Kín đáo
  • 2001:db8::/32 - Tài liệu
  • 2002::/24 - 6to4 0.0.0.0/8
  • 2002:0a00::/24 - 6to4 10.0.0.0/8
  • 2002:7f00::/24 - 6to4 127.0.0.0/8
  • 2002:a9fe::/32 - 6to4 169.254.0.0/16
  • 2002:ac10::/28 - 6to4 172.16.0.0/12
  • 2002:c000::/40 - 6to4 192.0.0.0/24
  • 2002:c0a8::/32 - 6to4 192.168.0.0/16
  • 2002:c612::/31 - 6to4 198,18.0.0 / 15
  • 2002:c633:6400::/40 - 6to4 198.51.100.0/24
  • 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
  • 2002:e000::/20 - 6to4 224.0.0.0/4
  • 2002:f000::/20 - 6to4 240.0.0.0/4
  • 4000::/3 - Kín đáo
  • 6000::/3 - Kín đáo
  • 8000::/3 - Kín đáo
  • a000::/3 - Kín đáo
  • c000::/3 - Kín đáo
  • e000::/4 - Kín đáo
  • f000::/5 - Kín đáo
  • f800::/6 - Kín đáo
  • fc00::/7 - Địa phương độc đáo
  • fe00::/9 - Kín đáo
  • fe80::/10 - Liên kết cục bộ
  • fec0::/10- Trang web cục bộ (không dùng nữa, RFC3879 )
  • ff00::/8 - Đa tuyến

Xem danh sách đặt phòng của RFC 5156IANA để tham khảo.

Shane Madden
nguồn
2
IANA cũng duy trì một danh sách các tiền tố dành riêng (có tham chiếu RFC) tại iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
voretaq7
@ voretaq7 Tôi cũng tìm thấy một vài thứ nữa. Làm cho câu trả lời này một wiki cộng đồng - chỉnh sửa đi.
Shane Madden
2
về mặt kỹ thuật, danh sách 6to4 không đầy đủ: bất kỳ địa chỉ IPv4 nào hiện đang là một bogon cũng nên được xử lý như vậy ở dạng 6to4. Nếu lọc bogon đầy đủ là quan trọng đối với bạn, bạn nên kiểm tra danh sách bogons Team Cymru.
Olipro
7

Không chặn các địa chỉ IPv6 tùy ý mà không thực sự biết bạn đang làm gì. Dừng lại, đây là thực hành xấu. Điều này chắc chắn sẽ phá vỡ kết nối của bạn theo những cách bạn không mong đợi. Một thời gian sau, bạn sẽ thấy IPv6 của bạn không hoạt động chính xác, sau đó bạn sẽ bắt đầu đổ lỗi rằng "IPv6 không hoạt động", v.v.

Dù ISP của bạn là gì, bộ định tuyến biên của bạn đã biết gói tin nào có thể gửi cho bạn và gói nào được chấp nhận từ bạn (mối quan tâm của bạn về địa chỉ giả mạo là hoàn toàn vô căn cứ) và hệ điều hành của bạn cũng biết phải làm gì với phần còn lại. Bất cứ điều gì bạn đọc về việc viết các quy tắc tường lửa 15 năm trước không áp dụng ngày hôm nay nữa.

Ngày nay, bất cứ khi nào bạn nhận được một gói từ một địa chỉ trong bất kỳ phạm vi nào trong số những phạm vi bạn dự định chặn, nhiều khả năng đó là một gói hợp pháp mà bạn đang chặn không chính xác hơn bất kỳ loại tấn công nào. Những người quản lý xương sống của Internet có nhiều kinh nghiệm hơn bạn và họ đã làm bài tập về nhà đúng cách.

Ngoài ra, danh sách các khối dành riêng và những gì mong đợi từ mỗi khối không được đặt trên đá. Họ thay đổi theo thời gian. Bất cứ điều gì bạn mong đợi hôm nay sẽ không còn như ngày mai nữa, thì tường lửa của bạn sẽ sai và phá vỡ kết nối của bạn.

Tường lửa có nhiệm vụ bảo vệ và giám sát những gì bên trong mạng của bạn. Bên ngoài là một khu rừng luôn thay đổi.

Juliano
nguồn
1
Bạn đang nói rằng một gói có địa chỉ nguồn từ phạm vi không hợp lệ hoặc riêng tư có nhiều khả năng hợp pháp hơn không? Điều đó không chính xác phù hợp với thế giới thực, tôi rất tiếc phải nói; tin tưởng mọi ISP trên toàn thế giới để kiểm tra đường dẫn ngược hoặc lọc địa chỉ nguồn của đồng nghiệp của họ chống lại lưu lượng giả mạo thay mặt bạn là ngây thơ. Đánh giá về lượng lưu lượng truy cập unicast với các nguồn giả mạo mà tôi thấy trên tường lửa mỗi ngày, tôi thực sự không nghĩ rằng đây là mối quan tâm của nhiều thập kỷ trước. Và tất cả chúng ta nên chết lâu trước khi 2000::/3hết không gian trống ..
Shane Madden
Đúng, quỷ không bao giờ ngủ :).
Jauzsika
1
Xem ví dụ: tools.ietf.org/html/draft-fuller-240space-02 . Bây giờ tất cả những người đặc biệt 240/4 đang gặp rắc rối về lý thuyết.
jørgensen
1

Về cơ bản bạn đã có nó. Ngoài ra còn có một RFC cho các địa chỉ trang web cục bộ trong fec0 :: / 10 nhưng điều này đã không được chấp nhận . Ý tưởng với IPv6 là NAT không còn cần thiết, do đó, ngay cả các địa chỉ có thể định tuyến toàn cầu cũng có thể được sử dụng trên mạng nội bộ. Bạn chỉ cần cấu hình tường lửa của bạn để chặn, khi thích hợp.

Nhân tiện, ngay cả trong các lớp đất IPv4 cũng không được nhắc đến nữa. CIDR được sử dụng thay thế.

James O'Gorman
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.