Estoy convirtiendo mi antiguo script de firewall de iptables basado en IPV4 y me gustaría sustituir los espacios de direcciones reservados de CLASE A / B / C / D / E por los que se encuentran en IPV6. Mi objetivo es negar los paquetes que se originan en estas direcciones, ya que no pueden llegar a la red pública, por lo que deben ser falsificados.
He encontrado estos hasta ahora, ¿hay más espacios reservados, donde no puedan llegar datos a un servidor web IPV6?
Loopback :: 1
Global Unicast (actualmente) 2000 :: / 3
Unique Local Unicast FC00 :: / 7
Enlace Local Unicast FE80 :: / 10
Multicast FF00 :: / 8
networking
iptables
ipv6
Jauzsika
fuente
fuente
No bloquee direcciones IPv6 arbitrarias sin saber realmente lo que está haciendo. Para, esta es una mala práctica. Esto sin duda interrumpirá su conectividad de formas que no esperaba. Algún tiempo después, verá que su IPv6 no se comporta correctamente, luego comenzará a culpar de que "IPv6 no funciona", etc.
Sea cual sea su ISP, su enrutador perimetral ya sabe qué paquetes puede enviarle y qué paquetes debe aceptar de usted (su preocupación por las direcciones falsificadas no tiene ninguna base), y su sistema operativo también sabe qué hacer con el resto. Lo que haya leído sobre la escritura de reglas de firewall hace unos 15 años ya no se aplica hoy.
Hoy en día, cada vez que recibe un paquete de una dirección en cualquiera de estos rangos que tiene la intención de bloquear, es mucho más probable que sea un paquete legítimo que esté bloqueando incorrectamente que cualquier tipo de ataque. Las personas que administran la columna vertebral de Internet tienen mucha más experiencia que usted, y ya hicieron su tarea correctamente.
Además, la lista de bloques reservados y qué esperar de cada uno de ellos no está establecida en roca. Cambian con el tiempo. Cualesquiera que sean las expectativas que tenga hoy, ya no serán las mismas mañana, entonces su firewall estará equivocado y romperá su conectividad.
Se supone que los firewalls protegen y monitorean lo que está dentro de su red. El exterior es una jungla siempre cambiante.
fuente
2000::/3
agote el espacio libre ..Básicamente lo tienes. También hubo un RFC para las direcciones locales del sitio en fec0 :: / 10, pero esto ha quedado en desuso . La idea con IPv6 es que ya no se necesita NAT, por lo tanto, incluso las direcciones enrutables globalmente se pueden usar en una red interna. Simplemente configure su firewall para bloquear, según corresponda.
Por cierto, incluso en IPv4-land ya no se hace referencia a clases. CIDR se utiliza en su lugar.
fuente