Jakie są zarezerwowane przestrzenie adresowe IPV6?

13

Konwertuję mój stary dobry skrypt zapory ogniowej iptables oparty na IPV4 i chciałbym zastąpić zarezerwowane przestrzenie adresowe KLASY A / B / C / D / E tymi, które znajdują się w IPV6. Moim celem jest odrzucenie jakichkolwiek pakietów pochodzących z tych adresów, ponieważ nie mogą one dotrzeć do publicznej sieci, więc muszą zostać sfałszowane.

Znalazłem je do tej pory, czy są jakieś zarezerwowane miejsca, w których żadne dane nie mogłyby dotrzeć do serwera IPV6?

Sprzężenie zwrotne :: 1

Global Unicast (obecnie) 2000 :: / 3

Unikalny lokalny Unicast FC00 :: / 7

Link Lokalny Unicast FE80 :: / 10

Multicast FF00 :: / 8

networking iptables ipv6 Jauzsika
źródło

Odpowiedzi:

19
  • ::/8 - Zarezerwowane - przestarzała Kompatybilny z IPv4 ::/96
  • 0200::/7 - Zarezerwowany
  • 0400::/6 - Zarezerwowany
  • 0800::/5 - Zarezerwowany
  • 1000::/4 - Zarezerwowany
  • 2001:db8::/32 - Dokumentacja
  • 2002::/24 - 6to4 0,0,0,0/8
  • 2002:0a00::/24 - 6to4 10.0.0.0/8
  • 2002:7f00::/24 - 6to4 127.0.0.0/8
  • 2002:a9fe::/32 - 6to4 169.254.0.0/16
  • 2002:ac10::/28 - 6to4 172.16.0.0/12
  • 2002:c000::/40 - 6to4 192.0.0.0/24
  • 2002:c0a8::/32 - 6to4 192.168.0.0/16
  • 2002:c612::/31 - 6to4 198,18.0.0/15
  • 2002:c633:6400::/40 - 6to4 198,51.100,0/24
  • 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
  • 2002:e000::/20 - 6to4 224,0.0.0/4
  • 2002:f000::/20 - 6to4 240.0.0.0/4
  • 4000::/3 - Zarezerwowany
  • 6000::/3 - Zarezerwowany
  • 8000::/3 - Zarezerwowany
  • a000::/3 - Zarezerwowany
  • c000::/3 - Zarezerwowany
  • e000::/4 - Zarezerwowany
  • f000::/5 - Zarezerwowany
  • f800::/6 - Zarezerwowany
  • fc00::/7 - Unikalny lokalny
  • fe00::/9 - Zarezerwowany
  • fe80::/10 - Link lokalny
  • fec0::/10- Lokalna witryna (przestarzała, RFC3879 )
  • ff00::/8 - Multicast

Zobacz RFC 5156 i listę rezerwacyjną IANA w celach informacyjnych.

Shane Madden
źródło
2
IANA utrzymuje również listę zastrzeżonych prefiksów (z odniesieniami do RFC) na stronie iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
voretaq7
@ voretaq7 Znalazłem też kilka innych do dodania. Uczyniono tę odpowiedź społecznością wiki - edytuj.
Shane Madden
2
technicznie rzecz biorąc, lista 6to4 jest niekompletna: każdy adres IPv4, który jest obecnie bogonem, również powinien być traktowany jako taki w formie 6to4. Jeśli ważne jest dla Ciebie pełne filtrowanie bogonów, sprawdź listę bogonów Team Cymru.
Olipro,
7

Nie blokować dowolne adresy IPv6 bez naprawdę wiedząc, co robisz. Przestań, to zła praktyka. Z pewnością spowoduje to przerwanie łączności w sposób, którego się nie spodziewałeś. Jakiś czas później zobaczysz, że Twój IPv6 nie działa poprawnie, wtedy zaczniesz obwiniać, że „IPv6 nie działa” itp.

Niezależnie od tego, kim jest twój dostawca usług internetowych, router brzegowy już wie, jakie pakiety może ci wysłać i jakie pakiety od ciebie przyjąć (obawa o sfałszowane adresy jest całkowicie pozbawiona podstaw), a twój system operacyjny wie również, co zrobić z resztą. Cokolwiek przeczytasz o pisaniu reguł zapory 15 lat temu, nie ma już dzisiaj zastosowania.

W dzisiejszych czasach, ilekroć otrzymasz pakiet z adresu w dowolnym z tych zakresów, który zamierzasz zablokować, jest o wiele bardziej prawdopodobne, że jest to legalny pakiet, który blokujesz niepoprawnie niż jakikolwiek atak. Ludzie, którzy zarządzają kręgosłupem Internetu, mają o wiele więcej doświadczenia niż ty i już odrobili zadanie domowe.

Ponadto lista zastrzeżonych bloków i tego, czego można się spodziewać po każdym z nich, nie jest ustawiona na rock. Zmieniają się z czasem. Niezależnie od tego, jakie masz dzisiaj oczekiwania, jutro nie będzie już takie samo, wtedy zapora sieciowa będzie błędna i zerwanie łączności.

Zapory mają chronić i monitorować to, co znajduje się na wewnętrznej stronie swojej sieci. Na zewnątrz jest ciągle zmieniająca się dżungla.

Juliano
źródło
1
Mówisz, że pakiet z adresem źródłowym z niepoprawnego lub prywatnego zakresu jest bardziej prawdopodobny niż nie? Przykro mi to mówić, ale to nie pasuje do prawdziwego świata; ufanie każdemu usługodawcy internetowemu na całym świecie w zakresie sprawdzania wstecznej ścieżki lub filtrowania adresów źródłowych ich partnerów przed sfałszowanym ruchem w Twoim imieniu jest naiwne. Sądząc po natężeniu ruchu emisji pojedynczej ze sfałszowanymi źródłami, które widzę każdego dnia w zaporach ogniowych, naprawdę nie sądzę, aby było to problemem sprzed dziesięcioleci. I wszyscy powinniśmy już dawno umrzeć, zanim 2000::/3zabraknie wolnego miejsca.
Shane Madden
Tak, diabeł nigdy nie śpi :).
Jauzsika
1
Zobacz na przykład tools.ietf.org/html/draft-fuller-240space-02 . Teraz każdy, kto w specjalnej skrzynce 240/4 ma teoretyczne kłopoty.
jørgensen
1

Zasadniczo masz to. W fec0 :: / 10 istniała również RFC dla adresów lokalnych dla witryny, ale ta wersja jest przestarzała . Idea IPv6 polega na tym, że NAT nie jest już potrzebny, dlatego nawet adresy globalnie routowalne mogą być używane w sieci wewnętrznej. Wystarczy skonfigurować zaporę ogniową, aby blokowała, stosownie do potrzeb.

Nawiasem mówiąc, nawet w klasach IPv4-land nie ma już takich odniesień. Zamiast tego stosuje się CIDR .

James O'Gorman
źródło