Apa ruang alamat khusus IPV6?

13

Saya mengonversi skrip firewall iptables berbasis IPV4 lama yang baik dan ingin mengganti ruang alamat CLASS A / B / C / D / E yang dipesan dengan yang ditemukan di IPV6. Tujuan saya adalah untuk menolak paket yang berasal dari alamat ini, karena ini tidak dapat mencapai jaringan publik, jadi mereka harus dipalsukan.

Saya telah menemukan ini sejauh ini, apakah ada lebih banyak ruang yang disediakan, di mana tidak ada data yang bisa datang ke server web IPV6?

Loopback :: 1

Global Unicast (saat ini) 2000 :: / 3

Unik Lokal Unicast FC00 :: / 7

Tautan Lokal Unicast FE80 :: / 10

Multicast FF00 :: / 8

networking iptables ipv6 Jauzsika
sumber

Jawaban:

19
  • ::/8 - Dicadangkan - Kompatibel IPv4 usang adalah ::/96
  • 0200::/7 - Dicadangkan
  • 0400::/6 - Dicadangkan
  • 0800::/5 - Dicadangkan
  • 1000::/4 - Dicadangkan
  • 2001:db8::/32 - Dokumentasi
  • 2002::/24 - 6to4 0.0.0.0/8
  • 2002:0a00::/24 - 6to4 10.0.0.0/8
  • 2002:7f00::/24 - 6to4 127.0.0.0/8/8
  • 2002:a9fe::/32 - 6to4 169.254.0.0/16
  • 2002:ac10::/28 - 6to4 172.16.0.0/12
  • 2002:c000::/40 - 6to4 192.0.0.0/24
  • 2002:c0a8::/32 - 6to4 192.168.0.0/16
  • 2002:c612::/31 - 6to4 198.18.0.0/15
  • 2002:c633:6400::/40 - 6to4 198.51.100.0/24
  • 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
  • 2002:e000::/20 - 6to4 224.0.0.0/4/4
  • 2002:f000::/20 - 6to4 240.0.0.0/4/4
  • 4000::/3 - Dicadangkan
  • 6000::/3 - Dicadangkan
  • 8000::/3 - Dicadangkan
  • a000::/3 - Dicadangkan
  • c000::/3 - Dicadangkan
  • e000::/4 - Dicadangkan
  • f000::/5 - Dicadangkan
  • f800::/6 - Dicadangkan
  • fc00::/7 - Lokal Unik
  • fe00::/9 - Dicadangkan
  • fe80::/10 - Tautan Lokal
  • fec0::/10- Situs Lokal (usang, RFC3879 )
  • ff00::/8 - Multicast

Lihat RFC 5156 dan daftar reservasi IANA untuk referensi.

Shane Madden
sumber
2
IANA juga memelihara daftar awalan yang dipesan (dengan referensi RFC) di iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
voretaq7
@ voretaq7 Saya menemukan beberapa tambahan untuk ditambahkan juga. Jadikan jawaban ini sebagai wiki komunitas - sunting.
Shane Madden
2
secara teknis, daftar 6to4 tidak lengkap: alamat IPv4 apa pun yang saat ini menjadi bogon juga harus diperlakukan seperti itu dalam bentuk 6to4. Jika pemfilteran bogon penuh penting bagi Anda, Anda harus memeriksa daftar bogon Tim Cymru.
Olipro
7

Jangan memblokir alamat IPv6 yang sewenang-wenang tanpa benar - benar mengetahui apa yang Anda lakukan. Berhenti, ini praktik buruk. Ini pasti akan merusak konektivitas Anda dengan cara yang tidak Anda harapkan. Beberapa waktu kemudian, Anda akan melihat bahwa IPv6 Anda tidak berlaku dengan benar, maka Anda akan mulai menyalahkan bahwa "IPv6 tidak berfungsi", dll.

Apa pun ISP Anda, router tepi Anda sudah tahu paket apa yang dapat dikirimkan kepada Anda dan paket apa yang harus Anda terima (kekhawatiran Anda tentang alamat palsu sama sekali tidak berdasar), dan sistem operasi Anda juga tahu apa yang harus dilakukan dengan sisanya. Apa pun yang Anda baca tentang menulis aturan firewall 15 atau lebih tahun yang lalu tidak berlaku lagi hari ini.

Saat ini, setiap kali Anda menerima paket dari alamat di rentang mana pun yang ingin Anda blokir, kemungkinan besar itu paket yang sah yang Anda blokir secara salah daripada jenis serangan apa pun. Orang-orang yang mengelola tulang punggung Internet memiliki lebih banyak pengalaman daripada Anda, dan mereka sudah melakukan pekerjaan rumah mereka dengan benar.

Juga, daftar blok yang dipesan dan apa yang diharapkan dari masing-masing blok tidak diatur. Mereka berubah seiring waktu. Apa pun harapan yang Anda miliki hari ini tidak akan sama besok lagi, maka firewall Anda akan salah dan merusak konektivitas Anda.

Firewall seharusnya melindungi dan memantau apa yang ada di dalam jaringan Anda. Bagian luar adalah hutan yang selalu berubah.

Juliano
sumber
1
Anda mengatakan bahwa paket dengan alamat sumber dari jangkauan yang tidak sah atau pribadi lebih mungkin sah daripada tidak? Itu tidak persis cocok dengan dunia nyata, saya minta maaf untuk mengatakan; mempercayai setiap ISP di seluruh dunia untuk melakukan pemeriksaan jalur balik atau penyaringan alamat sumber rekan-rekan mereka terhadap lalu lintas palsu atas nama Anda adalah naif. Dilihat oleh jumlah lalu lintas unicast dengan sumber palsu yang saya lihat di firewall setiap hari, saya benar-benar tidak berpikir ini adalah masalah dekade yang lalu. Dan kita semua harus lama mati sebelum 2000::/3kehabisan ruang kosong ..
Shane Madden
Yap, iblis tidak pernah tidur :).
Jauzsika
1
Lihat misalnya, tools.ietf.org/html/draft-fuller-240space-02 . Sekarang semua orang yang memiliki 240/4 cased khusus berada dalam kesulitan teoretis.
jørgensen
1

Anda pada dasarnya sudah mendapatkannya. Ada juga RFC untuk alamat situs-lokal di fec0 :: / 10 tetapi ini sudah usang . Gagasan dengan IPv6 adalah bahwa NAT tidak lagi diperlukan, oleh karena itu bahkan alamat yang dapat dialihkan secara global dapat digunakan pada jaringan internal. Anda cukup mengkonfigurasi firewall Anda untuk memblokir, yang sesuai.

By the way, bahkan dalam kelas IPv4-tanah tidak disebut lagi. CIDR digunakan sebagai gantinya.

James O'Gorman
sumber