Quali sono gli spazi degli indirizzi riservati IPV6?

13

Sto convertendo il mio buon vecchio script firewall iptables basato su IPV4 e vorrei sostituire gli spazi degli indirizzi riservati CLASS A / B / C / D / E con quelli trovati in IPV6. Il mio obiettivo è negare qualsiasi pacchetto che provenga da questi indirizzi, poiché questi non possono raggiungere la rete pubblica, quindi devono essere falsificati.

Ho trovato questi finora, ci sono altri spazi riservati, dove nessun dato potrebbe venire verso un server web IPV6?

Loopback :: 1

Global Unicast (attualmente) 2000 :: / 3

Unicast locale unico FC00 :: / 7

Link Local Unicast FE80 :: / 10

Multicast FF00 :: / 8

networking  iptables  ipv6 
Jauzsika
fonte

Risposte:

19
  • ::/8 - Riservato - Compatibile IPv4 obsoleto è ::/96
  • 0200::/7 - Riservato
  • 0400::/6 - Riservato
  • 0800::/5 - Riservato
  • 1000::/4 - Riservato
  • 2001:db8::/32 - Documentazione
  • 2002::/24 - 6to4 0.0.0.0/8
  • 2002:0a00::/24 - 6to4 10.0.0.0/8
  • 2002:7f00::/24 - 6to4 127.0.0.0/8
  • 2002:a9fe::/32 - 6to4 169.254.0.0/16
  • 2002:ac10::/28 - 6to4 172.16.0.0/12
  • 2002:c000::/40 - 6to4 192.0.0.0/24
  • 2002:c0a8::/32 - 6to4 192.168.0.0/16
  • 2002:c612::/31 - 6to4 198.18.0.0/15
  • 2002:c633:6400::/40 - 6to4 198.51.100.0/24
  • 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
  • 2002:e000::/20 - 6to4 224.0.0.0/4
  • 2002:f000::/20 - 6to4 240.0.0.0/4
  • 4000::/3 - Riservato
  • 6000::/3 - Riservato
  • 8000::/3 - Riservato
  • a000::/3 - Riservato
  • c000::/3 - Riservato
  • e000::/4 - Riservato
  • f000::/5 - Riservato
  • f800::/6 - Riservato
  • fc00::/7 - Locale unico
  • fe00::/9 - Riservato
  • fe80::/10 - Collegamento locale
  • fec0::/10- Sito locale (obsoleto, RFC3879 )
  • ff00::/8 - Multicast

Vedere RFC 5156 e l'elenco delle prenotazioni IANA per riferimento.

Shane Madden
fonte
2
IANA mantiene anche un elenco di prefissi riservati (con riferimenti RFC) su iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
voretaq7
@ voretaq7 Ne ho trovati anche altri da aggiungere. Trasforma questa risposta in un wiki della community: modifica via.
Shane Madden
2
tecnicamente parlando, l'elenco 6to4 è incompleto: qualsiasi indirizzo IPv4 che è attualmente un bogon dovrebbe essere trattato come tale in forma 6to4. Se per te è importante il filtraggio completo di bogon, dai un'occhiata all'elenco dei bogon di Team Cymru.
Olipro,
7

Non bloccare indirizzi IPv6 arbitrari senza sapere davvero cosa stai facendo. Stop, questa è una cattiva pratica. Ciò interromperà sicuramente la connettività in modi che non ti aspettavi. Qualche tempo dopo, vedrai che il tuo IPv6 non si comporta correttamente, quindi inizierai a incolpare che "IPv6 non funziona", ecc.

Qualunque sia il tuo ISP, il tuo router perimetrale conosce già quali pacchetti può inviarti e quali pacchetti accettare da te (la tua preoccupazione per gli indirizzi contraffatti è totalmente priva di fondamento) e il tuo sistema operativo sa anche cosa fare con il resto. Qualunque cosa tu legga sulla scrittura delle regole del firewall circa 15 anni fa non si applica più oggi.

Al giorno d'oggi, ogni volta che ricevi un pacchetto da un indirizzo in uno di questi intervalli che intendi bloccare, è molto più probabile che sia un pacchetto legittimo che stai bloccando in modo errato rispetto a qualsiasi tipo di attacco. Le persone che gestiscono la spina dorsale di Internet hanno molta più esperienza di te e hanno già svolto correttamente i compiti.

Inoltre, l'elenco dei blocchi riservati e cosa aspettarsi da ciascuno di essi non è impostato su roccia. Cambiano nel tempo. Qualunque siano le aspettative che hai oggi non sarà più lo stesso domani, allora il tuo firewall sarà sbagliato e interromperà la tua connettività.

I firewall dovrebbero proteggere e monitorare ciò che si trova all'interno della rete. L'esterno è una giungla in continua evoluzione.

Juliano
fonte
1
Stai dicendo che un pacchetto con un indirizzo di origine da un intervallo non valido o privato ha più probabilità di essere legittimo che no? Non si adatta esattamente al mondo reale, mi dispiace dirlo; fidarsi di ogni ISP in tutto il mondo per fare il controllo del percorso inverso o filtrare gli indirizzi di origine dei propri colleghi dal traffico contraffatto per conto dell'utente è ingenuo. A giudicare dalla quantità di traffico unicast con fonti di spoofing che vedo ogni giorno sui firewall, non credo proprio che questa sia una preoccupazione di decenni fa. E dovremmo essere tutti morti da molto prima che 2000::/3finisca lo spazio libero ..
Shane Madden
Sì, il diavolo non dorme mai :).
Jauzsika,
1
Vedi ad esempio, tools.ietf.org/html/draft-fuller-240space-02 . Ora tutti coloro che hanno un caso speciale 240/4 hanno problemi teorici.
jørgensen,
1

In pratica ce l'hai. C'era anche un RFC per gli indirizzi site-site in fec0 :: / 10 ma questo è stato deprecato . L'idea con IPv6 è che NAT non è più necessario, quindi anche gli indirizzi instradabili a livello globale possono essere utilizzati su una rete interna. È sufficiente configurare il firewall per bloccare, come appropriato.

A proposito, anche nelle classi di terra IPv4 non si fa più riferimento. Al suo posto viene utilizzato CIDR .

James O'Gorman
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.