IPV6 ayrılmış adres alanları nelerdir?

13

Eski IPV4 tabanlı iptables güvenlik duvarı komut dosyamı dönüştürüyorum ve CLASS A / B / C / D / E ayrılmış adres alanlarını IPV6'da bulunanlara değiştirmek istiyorum. Amacım, bu adreslerden kaynaklanan paketleri reddetmek, çünkü bunlar genel ağa ulaşamıyor, bu yüzden sahte olmalılar.

Bunları şimdiye kadar buldum, IPV6 web sunucusuna yönelik hiçbir verinin gelemeyeceği daha fazla ayrılmış alan var mı?

Geridöngü :: 1

Global Unicast (şu anda) 2000 :: / 3

Eşsiz Yerel Unicast FC00 :: / 7

Link Yerel Tek Noktaya Yayın FE80 :: / 10

Çok noktaya yayın FF00 :: / 8

networking  iptables  ipv6 
Jauzsika
kaynak

Yanıtlar:

19
  • ::/8 - Ayrılmış - kullanımdan kaldırılmış IPv4 Uyumlu: ::/96
  • 0200::/7 - Ayrılmış
  • 0400::/6 - Ayrılmış
  • 0800::/5 - Ayrılmış
  • 1000::/4 - Ayrılmış
  • 2001:db8::/32 - Dokümantasyon
  • 2002::/24 - 6'ya 4 0.0.0.0/8
  • 2002:0a00::/24 - 6'ya 4 10.0.0.0/8
  • 2002:7f00::/24 - 6'ya 4 127.0.0.0/8
  • 2002:a9fe::/32 - 6'ya 4 169.254.0.0/16
  • 2002:ac10::/28 - 6'ya 4 172.16.0.0/12
  • 2002:c000::/40 - 6to4 192.0.0.0/24
  • 2002:c0a8::/32 - 6'ya 4 192.168.0.0/16
  • 2002:c612::/31 - 6'ya 4 198.18.0.0/15
  • 2002:c633:6400::/40 - 6to4 198.51.100.0/24
  • 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
  • 2002:e000::/20 - 6to4 224.0.0.0/4
  • 2002:f000::/20 - 6to4 240.0.0.0/4
  • 4000::/3 - Ayrılmış
  • 6000::/3 - Ayrılmış
  • 8000::/3 - Ayrılmış
  • a000::/3 - Ayrılmış
  • c000::/3 - Ayrılmış
  • e000::/4 - Ayrılmış
  • f000::/5 - Ayrılmış
  • f800::/6 - Ayrılmış
  • fc00::/7 - Benzersiz Yerel
  • fe00::/9 - Ayrılmış
  • fe80::/10 - Yerel Bağlantı
  • fec0::/10- Site Yerel (kullanımdan kaldırıldı, RFC3879 )
  • ff00::/8 - Çok noktaya yayın

Bkz RFC 5156 ve IANA'nın rezervasyon listesini başvuru için.

Shane Madden
kaynak
2
11:41
@ voretaq7 Ben de eklemek için birkaç tane daha buldum. Bu yanıtı bir topluluk wiki'si haline getirin - düzenleyin.
Shane Madden
2
teknik olarak konuşursak, 6to4 listesi eksik: şu anda bir bogon olan herhangi bir IPv4 adresi de 6to4 biçiminde ele alınmalıdır. Tam bogon filtreleme sizin için önemliyse, Team Cymru bogons listesine göz atmalısınız.
Olipro
7

Do olmadan keyfi IPv6 adreslerini bloke gerçekten ne yaptığını bilmeden. Dur, bu kötü bir uygulama. Bu kesinlikle bağlantınızı beklemediğiniz şekillerde kesecektir. Bir süre sonra IPv6'nızın doğru bir şekilde davranmadığını göreceksiniz, o zaman "IPv6 çalışmıyor" vb.

ISS'niz ne olursa olsun, kenar yönlendiriciniz size hangi paketleri gönderebileceğini ve sizden hangi paketleri kabul edeceğini zaten biliyor (sahte adreslerle ilgili endişeniz tamamen temelsiz) ve işletim sisteminiz geri kalanlarla ne yapacağını da biliyor. 15 yıl kadar önce güvenlik duvarı kuralları yazma hakkında okuduğunuz her şey artık geçerli değil.

Günümüzde, engellemek istediğiniz bu aralıklardan herhangi bir adresten bir paket aldığınızda, herhangi bir saldırı türünden yanlış bir şekilde engellediğiniz meşru bir paket olma olasılığı daha yüksektir. İnternet'in omurgasını yöneten insanlar sizden çok daha fazla deneyime sahiptir ve zaten ödevlerini düzgün yapmışlardır.

Ayrıca, ayrılmış blokların listesi ve her birinden ne beklemeleri kayaya konmaz. Zamanla değişirler. Bugün beklentileriniz ne olursa olsun yarın aynı olmayacak, o zaman güvenlik duvarınız yanlış olacak ve bağlantınızı bozacaktır.

Güvenlik duvarlarının ağınızın içinde ne olduğunu koruması ve izlemesi gerekiyor . Dışarısı sürekli değişen bir orman.

Juliano
kaynak
1
Geçersiz veya özel bir aralıktaki kaynak adresi olan bir paketin, meşru olma olasılığının yüksek olduğunu mu söylüyorsunuz? Bu gerçek dünyayla tam olarak örtüşmüyor, söylediğim için üzgünüm; dünyanın dört bir yanındaki her İSS'ye, akranlarının kaynak adreslerini sizin adınıza aldatılan trafiğe karşı ters yol denetimi veya filtreleme yapmak konusunda güvenmek naiftir. Her gün güvenlik duvarlarında gördüğüm sahte kaynaklarla tek noktaya yayın trafiğinin miktarına bakılırsa, bunun onlarca yıl önce bir endişe olduğunu düşünmüyorum. Ve 2000::/3boş alanımız bitmeden hepimiz çoktan ölmeliyiz ..
Shane Madden
Evet, şeytan asla uyumaz :).
Jauzsika
1
Örneğin bkz . Tools.ietf.org/html/draft-fuller-240space-02 . Şimdi 240/4 özel kasalı herkes teorik sorun yaşıyor.
Jangensen
1

Temelde anladınız. Ayrıca fec0 :: / 10'da yerel site adresleri için bir RFC vardı ancak bu kullanımdan kaldırıldı . IPv6 ile ilgili fikir, NAT'a artık ihtiyaç duyulmamasıdır, bu nedenle global olarak yönlendirilebilen adresler bile dahili bir ağda kullanılabilir. Güvenlik duvarınızı uygun şekilde engelleyecek şekilde yapılandırmanız yeterlidir.

Bu arada, IPv4-land sınıflarında bile artık atıfta bulunulmamaktadır. Bunun yerine CIDR kullanılır.

James O'Gorman
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.