我正在转换我的老的IPV4基于iptables防火墙脚本,并希望用IPV6中的CLASS A / B / C / D / E保留地址空间replace。 我的目标是拒绝任何来自这些地址的数据包,因为这些数据包不能到达公共networking,所以他们必须被欺骗。
到目前为止,我已经发现了这些,有没有更多的保留空间,哪里没有数据可以到达IPV6networking服务器?
Loopback :: 1
全球单播(当前)2000 :: / 3
独特的本地单播FC00 :: / 7
链接本地单播FE80 :: / 10
多播FF00 :: / 8
::/8 – 保留 – 不推荐的IPv4兼容是::/96 0200::/7 – 保留 0400::/6 – 保留 0800::/5 – 保留 1000::/4 – 保留 2001:db8::/32 – 文档 2002::/24 – 6to4 0.0.0.0/8 2002:0a00::/24 – 6to4 10.0.0.0/8 2002:7f00::/24 – 6to4 127.0.0.0/8 2002:a9fe::/32 – 6to4 169.254.0.0/16 2002:ac10::/28 – 6to4 172.16.0.0/12 2002:c000::/40 – 6to4 192.0.0.0/24 2002:c0a8::/32 – 6to4 192.168.0.0/16 2002:c612::/31 – 6to4 198.18.0.0/15 2002:c633:6400::/40 – 6to4 198.51.100.0/24 2002:cb00:7100::/40 – 6to4 203.0.113.0/24 2002:e000::/20 – 6to4 224.0.0.0/4 2002:f000::/20 – 6to4 240.0.0.0/4 4000::/3 – 保留 6000::/3 – 保留 8000::/3 – 保留 a000::/3 – 保留 c000::/3 – 保留 e000::/4 – 保留 f000::/5 – 保留 f800::/6 – 保留 fc00::/7 – 独特的本地 fe00::/9 – 保留 fe80::/10 – 链接本地 fec0::/10 – 站点本地(不build议使用, RFC3879 ) ff00::/8 – 多播 请参阅RFC 5156和IANA的预留列表以供参考。
不要在不知道自己在做什么的情况下阻止任意的IPv6地址。 停止,这是不好的做法。 这肯定会以你没有想到的方式打破你的连接。 一段时间后,你会看到你的IPv6行为不正确,那么你就会开始责怪“IPv6不工作”等等。
无论你的ISP是什么,你的边缘路由器已经知道它可以发送给你什么数据包以及你接受哪些数据包(你关心欺骗性地址是完全没有根据的),你的操作系统也知道如何处理。 无论你在15年前写了多less防火墙规则,现在都不适用了。
如今,无论何时,如果您从这些范围内的任何地址接收到数据包,并且您打算阻止该数据包,则合法数据包的可能性就会大大超出任何forms的攻击。 pipe理互联网骨干的人比你有更多的经验,他们已经做好了功课。
此外,保留区块的列表以及期望每个区块的内容都不会被设置在磐石上。 他们随着时间而改变。 不pipe你今天有什么期望,明天就不会再是同样的了,那么你的防火墙就是错的,打破了你的连接。
防火墙应该保护和监视networking内部的内容。 外面是一个不断变化的丛林。
你已经基本上得到它。 在fec0 :: / 10中也有一个用于站点本地地址的RFC,但是这已经被弃用了 。 IPv6的想法是不再需要NAT,因此即使在全球可路由的地址也可以在内部networking上使用。 您只需将防火墙configuration为适当地阻止。
顺便说一下,即使在IPv4土地类别不再被提及。 用CIDR代替。