IPV6 保留地址空间有哪些?

tag-icon tag-icon networking iptables ipv6
IPV6 保留地址空间有哪些?

我正在转换我旧的基于 IPV4 的 iptables 防火墙脚本,并希望将 A/B/C/D/E 类保留地址空间替换为 IPV6 中的地址空间。我的目标是拒绝来自这些地址的任何数据包,因为这些数据包无法到达公共网络,因此它们一定是被欺骗的。

到目前为止我已经发现了这些,是否还有更多的保留空间,没有数据可以流向 IPV6 网络服务器?

环回::1

全球单播(当前)2000::/3

唯一本地单播 FC00::/7

链路本地单播 FE80::/10

多播 FF00::/8

答案1

  • ::/8- 保留 - 弃用 IPv4 兼容::/96
  • 0200::/7- 预订的
  • 0400::/6- 预订的
  • 0800::/5- 预订的
  • 1000::/4- 预订的
  • 2001:db8::/32- 文档
  • 2002::/24-6to4 0.0.0.0/8
  • 2002:0a00::/24- 6to4 10.0.0.0/8
  • 2002:7f00::/24- 6to4 127.0.0.0/8
  • 2002:a9fe::/32- 6to4 169.254.0.0/16
  • 2002:ac10::/28- 6to4 172.16.0.0/12
  • 2002:c000::/40- 6to4 192.0.0.0/24
  • 2002:c0a8::/32- 6to4 192.168.0.0/16
  • 2002:c612::/31- 6to4 198.18.0.0/15
  • 2002:c633:6400::/40- 6to4 198.51.100.0/24
  • 2002:cb00:7100::/40- 6to4 203.0.113.0/24
  • 2002:e000::/20- 6to4 224.0.0.0/4
  • 2002:f000::/20-6to4 240.0.0.0/4
  • 4000::/3- 预订的
  • 6000::/3- 预订的
  • 8000::/3- 预订的
  • a000::/3- 预订的
  • c000::/3- 预订的
  • e000::/4- 预订的
  • f000::/5- 预订的
  • f800::/6- 预订的
  • fc00::/7- 独特的本地
  • fe00::/9- 预订的
  • fe80::/10- 本地链接
  • fec0::/10- 站点本地(已弃用,RFC3879
  • ff00::/8- 多播

RFC 5156IANA 的预留名单以供参考。

答案2

不要无需阻止任意 IPv6 地址真的知道自己在做什么。停下来,这是不好的做法。这肯定会以你意想不到的方式破坏你的连接。一段时间后,你会发现你的 IPv6 行为不正确,然后你就会开始责怪“IPv6 不起作用”等等。

无论您的 ISP 是什么,您的边缘路由器已经知道它可以向您发送哪些数据包以及从您那里接受哪些数据包(您对欺骗地址的担心完全没有根据),并且您的操作系统也知道如何处理其余数据包。 15 年前您阅读的有关编写防火墙规则的任何内容如今都不再适用。

如今,每当您收到来自您打算阻止的这些范围内的地址的数据包时,它很可能是一个合法的数据包,而您错误地阻止了它,而不是任何类型的攻击。管理互联网骨干的人比您更有经验,他们已经做好了充分的准备。

此外,保留块列表以及对每个块的期望并不是一成不变的。它们会随着时间而变化。你今天的期望明天将不再一样,那么你的防火墙就会出错并破坏你的连接。

防火墙应该保护和监控网络上的内容里面网络。外面是一个不断变化的丛林。

答案3

您基本上已经了解了。fec0::/10 中还有一个针对站点本地地址的 RFC,但是这个已被弃用。IPv6 的理念是不再需要 NAT,因此即使是全局可路由地址也可以在内部网络上使用。您只需根据需要配置防火墙以进行阻止即可。

顺便说一句,即使在 IPv4 领域,类别也不再被提及。跨域路由用来代替。

相关内容