Quais são os espaços de endereço reservados IPV6?

13

Estou convertendo meu bom e antigo script de firewall de tabelas de ipv4 e gostaria de substituir os espaços de endereço reservados CLASS A / B / C / D / E pelos espaços encontrados no IPV6. Meu objetivo é negar quaisquer pacotes que se originem desses endereços, já que eles não podem alcançar a rede pública, portanto, eles devem ser falsificados.

Eu os encontrei até agora, existem mais espaços reservados, onde nenhum dado poderia chegar a um servidor Web IPV6?

Loopback :: 1

Unicast global (atualmente) 2000 :: / 3

Unicast local exclusivo FC00 :: / 7

Link Local Unicast FE80 :: / 10

Multicast FF00 :: / 8

networking iptables ipv6 Jauzsika
fonte

Respostas:

19
  • ::/8 - Reservado - Compatível com IPv4 descontinuado é ::/96
  • 0200::/7 - Reservado
  • 0400::/6 - Reservado
  • 0800::/5 - Reservado
  • 1000::/4 - Reservado
  • 2001:db8::/32 - Documentação
  • 2002::/24 - 6to4 0.0.0.0/8
  • 2002:0a00::/24 - 6to4 10.0.0.0/8
  • 2002:7f00::/24 - 6to4 127.0.0.0/8
  • 2002:a9fe::/32 - 6to4 169.254.0.0/16
  • 2002:ac10::/28 - 6to4 172.16.0.0/12
  • 2002:c000::/40 - 6to4 192.0.0.0/24
  • 2002:c0a8::/32 - 6to4 192.168.0.0/16
  • 2002:c612::/31 - 6to4 198.18.0.0/15
  • 2002:c633:6400::/40 - 6to4 198.51.100.0/24
  • 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
  • 2002:e000::/20 - 6to4 224.0.0.0/4
  • 2002:f000::/20 - 6to4 240.0.0.0/4
  • 4000::/3 - Reservado
  • 6000::/3 - Reservado
  • 8000::/3 - Reservado
  • a000::/3 - Reservado
  • c000::/3 - Reservado
  • e000::/4 - Reservado
  • f000::/5 - Reservado
  • f800::/6 - Reservado
  • fc00::/7 - Local único
  • fe00::/9 - Reservado
  • fe80::/10 - Link Local
  • fec0::/10- Local do site (descontinuado, RFC3879 )
  • ff00::/8 - Multicast

Consulte a RFC 5156 e a lista de reservas da IANA para referência.

Shane Madden
fonte
2
IANA também mantém uma lista de prefixos reservados (com referências RFC) em iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
voretaq7
@ voretaq7 Encontrei mais algumas para adicionar também. Tornou esta resposta um wiki da comunidade - edite.
Shane Madden
2
tecnicamente falando, a lista 6to4 está incompleta: qualquer endereço IPv4 que atualmente seja falso também deve ser tratado como tal na forma 6to4. Se a filtragem completa de bogons for importante para você, verifique a lista de bogons do Team Cymru.
Olipro
7

Não bloqueie endereços IPv6 arbitrários sem realmente saber o que está fazendo. Pare, isso é uma má prática. Isso certamente quebrará sua conectividade de maneiras que você não esperava. Algum tempo depois, você verá que seu IPv6 não se comporta corretamente e começará a culpar que "IPv6 não funciona" etc.

Qualquer que seja seu ISP, seu roteador de borda já sabe quais pacotes ele pode enviar para você e quais pacotes aceitar (sua preocupação com endereços falsificados é totalmente infundada), e seu sistema operacional também sabe o que fazer com o resto. O que você lê sobre como escrever regras de firewall há 15 anos ou mais, não se aplica mais hoje.

Hoje em dia, sempre que você recebe um pacote de um endereço em qualquer um desses intervalos que pretende bloquear, é muito mais provável que seja um pacote legítimo que você está bloqueando incorretamente do que qualquer tipo de ataque. As pessoas que gerenciam a espinha dorsal da Internet têm muito mais experiência que você e já fizeram o dever de casa corretamente.

Além disso, a lista de blocos reservados e o que esperar de cada um deles não está definida. Eles mudam com o tempo. Quaisquer que sejam as expectativas que você tem hoje não serão mais as mesmas amanhã, seu firewall estará errado e quebrará sua conectividade.

Os firewalls devem proteger e monitorar o que está dentro da sua rede. O exterior é uma selva sempre em mudança.

Juliano
fonte
1
Você está dizendo que um pacote com um endereço de origem de um intervalo inválido ou privado tem mais probabilidade de ser legítimo do que não? Isso não se encaixa exatamente no mundo real, lamento dizer; é ingênuo confiar em todos os ISPs do mundo todo para verificar ou filtrar o caminho inverso dos endereços de origem de seus pares contra o tráfego falsificado em seu nome. A julgar pela quantidade de tráfego unicast com fontes falsificadas que vejo nos firewalls todos os dias, realmente não acho que isso seja uma preocupação de décadas atrás. E todos nós devemos estar mortos há muito tempo antes de 2000::/3ficar sem espaço livre. #
Shane Madden
Sim, o diabo nunca dorme :).
Jauzsika 01/01
1
Veja, por exemplo, tools.ietf.org/html/draft-fuller-240space-02 . Agora todo mundo que investe em 240/4 com problemas especiais está com problemas teóricos.
jørgensen
1

Você basicamente conseguiu. Também havia uma RFC para endereços locais do site em fec0 :: / 10, mas isso foi preterido . A idéia com o IPv6 é que o NAT não é mais necessário, portanto, mesmo endereços roteados globalmente podem ser usados ​​em uma rede interna. Você simplesmente configura seu firewall para bloquear, conforme apropriado.

A propósito, mesmo nas classes IPv4-land não são mais referidas. O CIDR é usado em seu lugar.

James O'Gorman
fonte