Was sind die reservierten IPV6-Adressräume?

13

Ich konvertiere mein gutes altes IPV4-basiertes iptables-Firewall-Skript und möchte die reservierten Adressräume der KLASSEN A / B / C / D / E durch die in IPV6 enthaltenen ersetzen. Mein Ziel ist es, alle Pakete abzulehnen, die von diesen Adressen stammen, da diese nicht in das öffentliche Netz gelangen können und daher gefälscht werden müssen.

Ich habe diese bisher gefunden, gibt es noch reservierte Plätze, an denen keine Daten mehr auf einen IPV6-Webserver gelangen könnten?

Loopback :: 1

Globales Unicast (derzeit) 2000 :: / 3

Eindeutiger lokaler Unicast-FC00 :: / 7

Link Local Unicast FE80 :: / 10

Multicast FF00 :: / 8

networking iptables ipv6 Jauzsika
quelle

Antworten:

19
  • ::/8 - Reserviert - Veraltet IPv4-kompatibel ist ::/96
  • 0200::/7 - Reserviert
  • 0400::/6 - Reserviert
  • 0800::/5 - Reserviert
  • 1000::/4 - Reserviert
  • 2001:db8::/32 - Dokumentation
  • 2002::/24 - 6to4 0.0.0.0/8
  • 2002:0a00::/24 - 6to4 10.0.0.0/8
  • 2002:7f00::/24 - 6to4 127.0.0.0/8
  • 2002:a9fe::/32 - 6to4 169.254.0.0/16
  • 2002:ac10::/28 - 6to4 172.16.0.0/12
  • 2002:c000::/40 - 6to4 192.0.0.0/24
  • 2002:c0a8::/32 - 6to4 192.168.0.0/16
  • 2002:c612::/31 - 6to4 198.18.0.0/15
  • 2002:c633:6400::/40 - 6to4 198.51.100.0/24
  • 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
  • 2002:e000::/20 - 6to4 224.0.0.0/4
  • 2002:f000::/20 - 6to4 240.0.0.0/4
  • 4000::/3 - Reserviert
  • 6000::/3 - Reserviert
  • 8000::/3 - Reserviert
  • a000::/3 - Reserviert
  • c000::/3 - Reserviert
  • e000::/4 - Reserviert
  • f000::/5 - Reserviert
  • f800::/6 - Reserviert
  • fc00::/7 - Einzigartiges Lokal
  • fe00::/9 - Reserviert
  • fe80::/10 - Link Local
  • fec0::/10- Site Local (veraltet, RFC3879 )
  • ff00::/8 - Multicast

Siehe RFC 5156 und die Reservierungsliste von IANA als Referenz.

Shane Madden
quelle
2
IANA unterhält auch eine Liste der reservierten Präfixe (mit RFC-Referenzen) unter iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
voretaq7
@ voretaq7 Ich habe noch ein paar gefunden, die ich hinzufügen möchte. Hat diese Antwort zu einem Community-Wiki gemacht - bearbeite es.
Shane Madden
2
Technisch gesehen ist die 6to4-Liste unvollständig: Jede IPv4-Adresse, die derzeit eine falsche ist, sollte auch als solche in 6to4-Form behandelt werden. Wenn Ihnen eine vollständige Bogon-Filterung wichtig ist, sollten Sie sich die Liste der Team Cymru-Bogons ansehen.
Olipro
7

Blockieren Sie keine willkürlichen IPv6-Adressen, ohne wirklich zu wissen, was Sie tun. Hör auf, das ist eine schlechte Übung. Dadurch wird Ihre Konnektivität auf eine Weise unterbrochen, die Sie nicht erwartet haben. Einige Zeit später werden Sie feststellen, dass sich Ihr IPv6 nicht richtig verhält, und dann werden Sie beschuldigen, dass "IPv6 nicht funktioniert" usw.

Was auch immer Ihr ISP ist, Ihr Edge-Router weiß bereits, welche Pakete er an Sie senden kann und welche Pakete er von Ihnen entgegennimmt (Ihre Besorgnis über gefälschte Adressen ist völlig unbegründet), und Ihr Betriebssystem weiß auch, was mit dem Rest zu tun ist. Was immer Sie vor 15 oder so Jahren über das Schreiben von Firewall-Regeln gelesen haben, gilt heute nicht mehr.

Wenn Sie ein Paket von einer Adresse in einem dieser Bereiche erhalten, die Sie blockieren möchten, ist es heutzutage viel wahrscheinlicher, dass Sie ein legitimes Paket fälschlicherweise blockieren, als jede Art von Angriff. Die Leute, die das Rückgrat des Internets verwalten, haben viel mehr Erfahrung als Sie und haben ihre Hausaufgaben bereits richtig gemacht.

Auch die Liste der reservierten Blöcke und was von jedem zu erwarten ist, ist nicht auf Eis gelegt. Sie ändern sich im Laufe der Zeit. Was auch immer Sie heute erwarten, morgen ist es nicht mehr dasselbe, dann ist Ihre Firewall falsch und Ihre Konnektivität wird unterbrochen.

Firewalls sollen schützen und überwachen, was sich in Ihrem Netzwerk befindet. Das Äußere ist ein sich ständig verändernder Dschungel.

Juliano
quelle
1
Sie sagen, dass ein Paket mit einer Quelladresse aus einem ungültigen oder privaten Bereich eher legitim ist als nicht? Das passt nicht genau zur realen Welt, tut mir leid zu sagen; Es ist naiv, sich darauf zu verlassen, dass jeder ISP auf der ganzen Welt die Quelladressen seiner Kollegen überprüft oder diese nach gefälschtem Datenverkehr filtert. Gemessen an der Menge an Unicast-Verkehr mit gefälschten Quellen, die ich jeden Tag auf Firewalls sehe, glaube ich nicht, dass dies vor Jahrzehnten ein Problem war. Und wir sollten alle lange tot sein, bevor 2000::/3der freie Speicherplatz
Shane Madden
Ja, der Teufel schläft nie :).
Jauzsika
1
Siehe zum Beispiel tools.ietf.org/html/draft-fuller-240space-02 . Jetzt steckt jeder, der 240/4 im Spezialgehäuse hat, in theoretischen Schwierigkeiten.
Jørgensen
1

Sie haben es im Grunde genommen. Es gab auch einen RFC für standortlokale Adressen in fec0 :: / 10, der jedoch veraltet ist . Die Idee mit IPv6 ist, dass NAT nicht mehr benötigt wird und daher auch global routbare Adressen in einem internen Netzwerk verwendet werden können. Sie konfigurieren Ihre Firewall einfach so, dass sie entsprechend blockiert.

Übrigens, auch in IPv4-Ländern wird nicht mehr auf Klassen verwiesen. Stattdessen wird CIDR verwendet.

James O'Gorman
quelle