¿Cuáles son los espacios de direcciones reservados de IPV6?

13

Estoy convirtiendo mi antiguo script de firewall de iptables basado en IPV4 y me gustaría sustituir los espacios de direcciones reservados de CLASE A / B / C / D / E por los que se encuentran en IPV6. Mi objetivo es negar los paquetes que se originan en estas direcciones, ya que no pueden llegar a la red pública, por lo que deben ser falsificados.

He encontrado estos hasta ahora, ¿hay más espacios reservados, donde no puedan llegar datos a un servidor web IPV6?

Loopback :: 1

Global Unicast (actualmente) 2000 :: / 3

Unique Local Unicast FC00 :: / 7

Enlace Local Unicast FE80 :: / 10

Multicast FF00 :: / 8

networking iptables ipv6 Jauzsika
fuente

Respuestas:

19
  • ::/8 - Reservado - Compatible con IPv4 en desuso ::/96
  • 0200::/7 - Reservado
  • 0400::/6 - Reservado
  • 0800::/5 - Reservado
  • 1000::/4 - Reservado
  • 2001:db8::/32 - Documentación
  • 2002::/24 - 6to4 0.0.0.0/8
  • 2002:0a00::/24 - 6to4 10.0.0.0/8
  • 2002:7f00::/24 - 6to4 127.0.0.0/8
  • 2002:a9fe::/32 - 6to4 169.254.0.0/16
  • 2002:ac10::/28 - 6to4 172.16.0.0/12
  • 2002:c000::/40 - 6to4 192.0.0.0/24
  • 2002:c0a8::/32 - 6to4 192.168.0.0/16
  • 2002:c612::/31 - 6to4 198.18.0.0/15
  • 2002:c633:6400::/40 - 6to4 198.51.100.0/24
  • 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
  • 2002:e000::/20 - 6to4 224.0.0.0/4
  • 2002:f000::/20 - 6to4 240.0.0.0/4
  • 4000::/3 - Reservado
  • 6000::/3 - Reservado
  • 8000::/3 - Reservado
  • a000::/3 - Reservado
  • c000::/3 - Reservado
  • e000::/4 - Reservado
  • f000::/5 - Reservado
  • f800::/6 - Reservado
  • fc00::/7 - Local único
  • fe00::/9 - Reservado
  • fe80::/10 - Enlace local
  • fec0::/10- Sitio local (en desuso, RFC3879 )
  • ff00::/8 - Multicast

Consulte el RFC 5156 y la lista de reservas de IANA como referencia.

Shane Madden
fuente
2
IANA también mantiene una lista de prefijos reservados (con referencias RFC) en iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
voretaq7
@ voretaq7 También encontré algunos más para agregar. Hizo que esta respuesta fuera un wiki de la comunidad: edítelo.
Shane Madden
2
técnicamente hablando, la lista 6to4 está incompleta: cualquier dirección IPv4 que actualmente sea un bogon también debe tratarse como tal en forma 6to4. Si el filtrado completo de los bogons es importante para usted, debe consultar la lista de bogons del Team Cymru.
Olipro
7

No bloquee direcciones IPv6 arbitrarias sin saber realmente lo que está haciendo. Para, esta es una mala práctica. Esto sin duda interrumpirá su conectividad de formas que no esperaba. Algún tiempo después, verá que su IPv6 no se comporta correctamente, luego comenzará a culpar de que "IPv6 no funciona", etc.

Sea cual sea su ISP, su enrutador perimetral ya sabe qué paquetes puede enviarle y qué paquetes debe aceptar de usted (su preocupación por las direcciones falsificadas no tiene ninguna base), y su sistema operativo también sabe qué hacer con el resto. Lo que haya leído sobre la escritura de reglas de firewall hace unos 15 años ya no se aplica hoy.

Hoy en día, cada vez que recibe un paquete de una dirección en cualquiera de estos rangos que tiene la intención de bloquear, es mucho más probable que sea un paquete legítimo que esté bloqueando incorrectamente que cualquier tipo de ataque. Las personas que administran la columna vertebral de Internet tienen mucha más experiencia que usted, y ya hicieron su tarea correctamente.

Además, la lista de bloques reservados y qué esperar de cada uno de ellos no está establecida en roca. Cambian con el tiempo. Cualesquiera que sean las expectativas que tenga hoy, ya no serán las mismas mañana, entonces su firewall estará equivocado y romperá su conectividad.

Se supone que los firewalls protegen y monitorean lo que está dentro de su red. El exterior es una jungla siempre cambiante.

Juliano
fuente
1
¿Está diciendo que es más probable que un paquete con una dirección de origen de un rango privado o no válido sea legítimo? Lamento decir que eso no encaja exactamente con el mundo real; Es ingenuo confiar en todos los ISP de todo el mundo para que verifiquen la ruta inversa o filtren las direcciones de origen de sus pares contra el tráfico falso en su nombre. A juzgar por la cantidad de tráfico de unidifusión con fuentes falsas que veo en los firewalls todos los días, realmente no creo que esto sea una preocupación de hace décadas. Y todos deberíamos estar muertos antes de que se 2000::/3agote el espacio libre ..
Shane Madden
Sí, el diablo nunca duerme :).
Jauzsika el
1
Ver por ejemplo, tools.ietf.org/html/draft-fuller-240space-02 . Ahora todos los que tienen un 240/4 con carcasa especial están en problemas teóricos.
jørgensen
1

Básicamente lo tienes. También hubo un RFC para las direcciones locales del sitio en fec0 :: / 10, pero esto ha quedado en desuso . La idea con IPv6 es que ya no se necesita NAT, por lo tanto, incluso las direcciones enrutables globalmente se pueden usar en una red interna. Simplemente configure su firewall para bloquear, según corresponda.

Por cierto, incluso en IPv4-land ya no se hace referencia a clases. CIDR se utiliza en su lugar.

James O'Gorman
fuente