我网站上有一个部分,阻止访问所有 IP(白名单除外)。对于 IPv4,这非常简单,因为即使是动态 IP,它们通常也不会在几个月甚至几年内发生变化。
然而,对于 IPv6,这些似乎每 24 小时左右就会交替一次。这意味着我不能简单地将初始 IPv6 IP 列入白名单并称其为好,因为它会很快再次更改。因此,我需要将整个范围列入白名单。即使在过去几天阅读并测试了 IPv6 之后,我仍然不确定我是否掌握了它。
以下是我得到的信息:
order deny,allow
allow from 1234:123:4567:ab1::/64
deny from all
IP 地址的前 4 个部分永远不会改变,但后 4 个部分会不断变化。在这种情况下,这是将个人 IP 列入白名单的正确方法吗?
答案1
使用 IPv6 时,您必须开始考虑子网,而不是单个 IP 地址。/64 子网分配给物理 LAN(或 VLAN),并且该子网中的主机可以以多种方式分配该子网中的地址,并且如果配置为这样做,可以任意更改它们(例如隐私地址)。
无法确定子网中的两个不同 IPv6 地址是否对应于同一台机器,但可以合理地确定给定的 IPv6 /64 对应于子网,当然也对应于其中的所有主机。