Quais são os espaços de endereços reservados do IPV6?

Navegue suas respostas
13

Estou convertendo meu bom e velho script de firewall iptables baseado em IPV4 e gostaria de substituir os espaços de endereço reservados de CLASSE A / B / C / D / E pelos encontrados em IPV6. Meu objetivo é negar qualquer pacote que tenha origem nesses endereços, já que eles não podem alcançar a rede pública, então eles devem ser falsificados.

Encontrei até agora, existem mais espaços reservados, onde nenhum dado pode vir em direção a um servidor IPV6?

Loopback :: 1

Unicast global (atualmente) 2000 :: / 3

Unicast local exclusivo FC00 :: / 7

Link Local Unicast FE80 :: / 10

Multicast FF00 :: / 8

    
por Jauzsika 30.12.2011 / 18:23

3 respostas

19
  • ::/8 - Reservado - Compatível com IPv4 preterido é ::/96
  • 0200::/7 - Reservado
  • 0400::/6 - Reservado
  • 0800::/5 - Reservado
  • 1000::/4 - Reservado
  • 2001:db8::/32 - Documentação
  • 2002::/24 - 6to4 0.0.0.0/8
  • 2002:0a00::/24 - 6to4 10.0.0.0/8
  • 2002:7f00::/24 - 6to4 127.0.0.0/8
  • 2002:a9fe::/32 - 6to4 169.254.0.0/16
  • 2002:ac10::/28 - 6to4 172.16.0.0/12
  • 2002:c000::/40 - 6to4 192.0.0.0/24
  • 2002:c0a8::/32 - 6to4 192.168.0.0/16
  • 2002:c612::/31 - 6to4 198.18.0.0/15
  • 2002:c633:6400::/40 - 6to4 198.51.100.0/24
  • 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
  • 2002:e000::/20 - 6to4 224.0.0.0/4
  • 2002:f000::/20 - 6to4 240.0.0.0/4
  • 4000::/3 - Reservado
  • 6000::/3 - Reservado
  • 8000::/3 - Reservado
  • a000::/3 - Reservado
  • c000::/3 - Reservado
  • e000::/4 - Reservado
  • f000::/5 - Reservado
  • f800::/6 - Reservado
  • fc00::/7 - local exclusivo
  • fe00::/9 - Reservado
  • fe80::/10 - Link local
  • fec0::/10 - Site local (descontinuado, RFC3879 )
  • ff00::/8 - Multicast

Veja RFC 5156 e Lista de reservas da IANA para referência.

    
por 30.12.2011 / 19:12
6

Não bloqueie endereços IPv6 arbitrários sem realmente saber o que você está fazendo. Pare, isso é uma prática ruim. Isso certamente irá quebrar sua conectividade de maneiras que você não esperava. Algum tempo depois, você verá que o seu IPv6 não se comporta corretamente, então você começará a culpar que "o IPv6 não funciona", etc.

Qualquer que seja o seu ISP, seu roteador de borda já sabe quais pacotes ele pode enviar para você e quais pacotes aceitar (sua preocupação com endereços falsos é totalmente infundada) e seu sistema operacional também sabe o que fazer com o restante . O que quer que você leia sobre como escrever regras de firewall há 15 anos, não se aplica mais hoje.

Hoje em dia, sempre que você receber um pacote de um endereço em qualquer um desses intervalos que você pretende bloquear, é muito mais provável que seja um pacote legítimo bloqueado incorretamente do que qualquer tipo de ataque. As pessoas que gerenciam a espinha dorsal da Internet têm muito mais experiência do que você e já fizeram o dever de casa adequadamente.

Além disso, a lista de blocos reservados e o que esperar de cada um deles não está definida no rock. Eles mudam com o tempo. Qualquer expectativa que você tenha hoje não será mais a mesma amanhã, então seu firewall estará errado e quebrará sua conectividade.

Os firewalls devem proteger e monitorar o que está no dentro da sua rede. O exterior é uma selva em constante mudança.

    
por 31.12.2011 / 19:09
1

Você basicamente conseguiu. Havia também um RFC para endereços locais de sites em fec0 :: / 10, mas este foi descontinuado . A ideia com o IPv6 é que o NAT não é mais necessário, portanto, até endereços globalmente roteáveis podem ser usados em uma rede interna. Você simplesmente configura seu firewall para bloquear, conforme apropriado.

A propósito, até mesmo em classes de terra IPv4 não são mais referidas. O CIDR é usado em seu lugar.

    
por 30.12.2011 / 18:36

Tags

Os serviços permanecem em estado de falha após serem interrompidos com systemctl qual é a diferença entre o Gigabit Ethernet Controller e o Ethernet Converged Network Adapter?