Що таке IPV6 зарезервовані адресні простори?

Я перетворюю мій старий хороший сценарій брандмауера iptables на основі IPV4 і хотів би замінити зарезервовані адресні простори класу A / B / C / D / E на ті, які знайдені в IPV6. Моя мета - забороняти будь-які пакети, які походять з цих адрес, оскільки вони не можуть потрапити в загальнодоступну мережу, тому вони повинні бути підробленими.

Я знайшов це до цих пір, чи є якісь зарезервовані місця, де жодні дані не можуть надходити до веб-сервера IPV6?

Цикл: 1

Global Unicast (зараз) 2000 :: / 3

Унікальний локальний Unicast FC00 :: / 7

Посилання Local Unicast FE80 :: / 10

Multicast FF00 :: / 8

• ::/8 - Зарезервовано - застарілий IPv4 Сумісний ::/96
• 0200::/7 - Зарезервований
• 0400::/6 - Зарезервований
• 0800::/5 - Зарезервований
• 1000::/4 - Зарезервований
• 2001:db8::/32 - Документація
• 2002::/24 - 6то4 0,0.0.0/8
• 2002:0a00::/24 - 6то4 10.0.0.0/8
• 2002:7f00::/24 - 6то4 127.0.0.0/8
• 2002:a9fe::/32 - 6то4 169.254.0.0/16
• 2002:ac10::/28 - 6то4 172.16.0.0/12
• 2002:c000::/40 - 6то4 192.0.0.0/24
• 2002:c0a8::/32 - 6то4 192.168.0.0/16
• 2002:c612::/31 - 6то4 198.18.0.0/15
• 2002:c633:6400::/40 - 6то4 198.51.100.0/24
• 2002:cb00:7100::/40 - 6то4 203.0.113.0/24
• 2002:e000::/20 - 6то4 224.0.0.0/4
• 2002:f000::/20 - 6то4 240.0.0.0/4
• 4000::/3 - Зарезервований
• 6000::/3 - Зарезервований
• 8000::/3 - Зарезервований
• a000::/3 - Зарезервований
• c000::/3 - Зарезервований
• e000::/4 - Зарезервований
• f000::/5 - Зарезервований
• f800::/6 - Зарезервований
• fc00::/7 - Унікальний локальний
• fe00::/9 - Зарезервований
• fe80::/10 - Посилання локальне
• fec0::/10- Місцевий сайт (застарілий, RFC3879 )
• ff00::/8 - Багатоадресна передача

Для довідок дивіться RFC 5156 та бронювання IANA .

Чи не блокувати довільні адреси IPv6 , НЕ дійсно знаючи , що ви робите. Стоп, це погана практика. Це, безумовно, порушить ваш зв’язок способами, яких ви не очікували. Через деякий час ви побачите, що ваш IPv6 веде себе неправильно, тоді ви почнете звинувачувати, що "IPv6 не працює" тощо.

Який би не був ваш Інтернет-провайдер, ваш крайовий маршрутизатор вже знає, які пакети він може вам надсилати та які пакети приймати від вас (ваше занепокоєння щодо підроблених адрес абсолютно необгрунтовано), а ваша операційна система також знає, що робити з рештою. Що б ви не читали про написання правил брандмауера 15 або більше років тому, сьогодні вже не застосовується.

Сьогодні, коли ви отримуєте пакет з адреси в будь-якому з цих діапазонів, які ви збираєтесь заблокувати, набагато більше шансів на те, що законний пакет ви блокуєте неправильно, ніж будь-яка атака. Люди, які керують основою Інтернету, мають набагато більше досвіду, ніж ви, і вони вже виконали домашні завдання належним чином.

Також список зарезервованих блоків і того, чого очікувати від кожного з них, не встановлено на рок. Вони змінюються з часом. Які б ви не мали очікувань сьогодні, більше завтра вже не будуть однаковими, тоді ваш брандмауер помилиться і порушить ваш зв’язок.

Брандмауери повинні захищати та контролювати те, що знаходиться у внутрішній частині вашої мережі. Зовні - джунглі, що постійно змінюються.

Ви в основному це зрозуміли. Також було встановлено RFC для локальних адрес у файлі fec0 :: / 10, але це застаріло . Ідея IPv6 полягає в тому, що NAT більше не потрібен, тому навіть внутрішньо-маршрутизовані адреси можна використовувати у внутрішній мережі. Ви просто налаштовуєте брандмауер для блокування, якщо потрібно.

До речі, навіть у класах IPv4-land вже не згадуються. Натомість використовується CIDR .