在我公司的 VPN 应用中,我们有一个可禁用的功能,不包括以下内容列表非网站 IP 地址范围被路由到 VPN 服务器。
这样,即使 VPN 处于活动状态,本地网络应用程序也可以继续工作,此外,一些反VPN检查这些地址(查看 VPN 是否处于活动状态)。
我的问题是,我们是否应该在列表中添加和/或删除任何 IP 范围?
此外,提及相关的 RFC 会有所帮助,但不是必须的。
警告:在列表中添加太多内容意味着泄露网站数据包,而删除太多内容则意味着本地网络应用程序可能无法运行。
列表:
传奇:
- 例如,
{172,16,0,0 , 12},条目的意思是172.16.0.0/12。 - 其中,前 4 个字段
MyType指定 IP 地址的基数。 - 第 5 个字段指定“掩码”。
条目:
MyType localSubnets[] = {
// Address ranges below are reserved by IANA for private intranets,
// and not routable to the Internet
// (For additional information, see RFC 1918).
{10,0,0,0 , 8}, {10,170,60,224 , 27},
{172,16,0,0 , 12},
{192,168,0,0 , 16},
// Reserved and special use addresses:
{0,0,0,0 , 8}, // Current network (only valid as source address) RFC 1700
{127,0,0,0 , 8}, // Loopback IP addresses (refers to self) RFC 5735
{192,0,0,0 , 24}, // Reserved (IANA) RFC 5735
{192,88,99,0 , 24}, // IPv6 to IPv4 relay. RFC 3068
{198,18,0,0 , 15}, // Network benchmark tests. RFC 2544
{198,51,100,0 , 24}, // TEST-NET-2. RFC 5737
{203,0,113,0 , 24}, // TEST-NET-3. RFC 5737
{224,0,0,0 , 4}, // Reserved for multicast addresses. RFC 3171
// Reserved (former Class E network) RFC 1700
{255,255,255,255 , 32} // Broadcast address (limited to all other nodes on the LAN) RFC 919
};
答案1
您可以考虑添加:
- 169.254.0.0/16- RFC 3927 - 为本地链路地址设计的地址块。当 DHCP 服务器不可用时,这些地址会自动分配给本地网络上的设备。它们的范围有限,无法在本地网络段之外路由
- 240.0.0.0/4- 此块保留用于未来用途,不应用于任何当前应用程序(IANA IP 地址空间注册表)
- 64.44.0.0/16- RFC 6459 - 用于运营商级 NAT 的私人用途。此块允许服务提供商在大型 NAT 设备后面为其客户创建私有地址空间。
- 100.64.0.0/10- RFC 6598 - 指定用于运营商级 NAT 的共享地址空间。这允许多个服务提供商在 NAT 设备后面为其客户共享一个地址池。
- 233.252.0.0/14- RFC 791 - 本地范围多播。它允许在本地网络段内进行高效通信,而无需为每个设备进行单独路由
- 239.255.0.0/16- RFC 3171 - 此地址块指定用于有限范围的多播地址。这些地址用于特定目的,例如本地网络内的服务发现。
答案2
我认为 OP 应该169.254.203.0/24在上述列表中添加一些内容,例如:
{169,254,203,0 , 24}, // Link-local address.
笔记我是 OP'er,但还不确定是否将其添加到列表中。