Konwertuję mój stary dobry skrypt zapory ogniowej iptables oparty na IPV4 i chciałbym zastąpić zarezerwowane przestrzenie adresowe KLASY A / B / C / D / E tymi, które znajdują się w IPV6. Moim celem jest odrzucenie jakichkolwiek pakietów pochodzących z tych adresów, ponieważ nie mogą one dotrzeć do publicznej sieci, więc muszą zostać sfałszowane.
Znalazłem je do tej pory, czy są jakieś zarezerwowane miejsca, w których żadne dane nie mogłyby dotrzeć do serwera IPV6?
Sprzężenie zwrotne :: 1
Global Unicast (obecnie) 2000 :: / 3
Unikalny lokalny Unicast FC00 :: / 7
Link Lokalny Unicast FE80 :: / 10
Multicast FF00 :: / 8
networking
iptables
ipv6
Jauzsika
źródło
źródło
Nie blokować dowolne adresy IPv6 bez naprawdę wiedząc, co robisz. Przestań, to zła praktyka. Z pewnością spowoduje to przerwanie łączności w sposób, którego się nie spodziewałeś. Jakiś czas później zobaczysz, że Twój IPv6 nie działa poprawnie, wtedy zaczniesz obwiniać, że „IPv6 nie działa” itp.
Niezależnie od tego, kim jest twój dostawca usług internetowych, router brzegowy już wie, jakie pakiety może ci wysłać i jakie pakiety od ciebie przyjąć (obawa o sfałszowane adresy jest całkowicie pozbawiona podstaw), a twój system operacyjny wie również, co zrobić z resztą. Cokolwiek przeczytasz o pisaniu reguł zapory 15 lat temu, nie ma już dzisiaj zastosowania.
W dzisiejszych czasach, ilekroć otrzymasz pakiet z adresu w dowolnym z tych zakresów, który zamierzasz zablokować, jest o wiele bardziej prawdopodobne, że jest to legalny pakiet, który blokujesz niepoprawnie niż jakikolwiek atak. Ludzie, którzy zarządzają kręgosłupem Internetu, mają o wiele więcej doświadczenia niż ty i już odrobili zadanie domowe.
Ponadto lista zastrzeżonych bloków i tego, czego można się spodziewać po każdym z nich, nie jest ustawiona na rock. Zmieniają się z czasem. Niezależnie od tego, jakie masz dzisiaj oczekiwania, jutro nie będzie już takie samo, wtedy zapora sieciowa będzie błędna i zerwanie łączności.
Zapory mają chronić i monitorować to, co znajduje się na wewnętrznej stronie swojej sieci. Na zewnątrz jest ciągle zmieniająca się dżungla.
źródło
2000::/3
zabraknie wolnego miejsca.Zasadniczo masz to. W fec0 :: / 10 istniała również RFC dla adresów lokalnych dla witryny, ale ta wersja jest przestarzała . Idea IPv6 polega na tym, że NAT nie jest już potrzebny, dlatego nawet adresy globalnie routowalne mogą być używane w sieci wewnętrznej. Wystarczy skonfigurować zaporę ogniową, aby blokowała, stosownie do potrzeb.
Nawiasem mówiąc, nawet w klasach IPv4-land nie ma już takich odniesień. Zamiast tego stosuje się CIDR .
źródło