Каковы зарезервированные адресные пространства IPV6?

Я конвертирую свой старый добрый сценарий брандмауэра iptables на базе IPV4 и хотел бы заменить зарезервированные адресные пространства CLASS A / B / C / D / E на те, которые есть в IPV6. Моя цель состоит в том, чтобы запретить любые пакеты, которые отправляются с этих адресов, поскольку они не могут достичь общедоступной сети, поэтому они должны быть подделаны.

Я нашел это до сих пор, есть ли еще зарезервированные места, где никакие данные не могли бы прийти к веб-серверу IPV6?

Петля :: 1

Global Unicast (в настоящее время) 2000 :: / 3

Уникальный Локальный Unicast FC00 :: / 7

Link Local Unicast FE80 :: / 10

Multicast FF00 :: / 8

• ::/8 - Зарезервировано - устаревший IPv4-совместимый ::/96
• 0200::/7 - Зарезервированный
• 0400::/6 - Зарезервированный
• 0800::/5 - Зарезервированный
• 1000::/4 - Зарезервированный
• 2001:db8::/32 - Документация
• 2002::/24 - 6to4 0.0.0.0/8
• 2002:0a00::/24 - 6to4 10.0.0.0/8
• 2002:7f00::/24 - 6to4 127.0.0.0/8
• 2002:a9fe::/32 - 6to4 169.254.0.0/16
• 2002:ac10::/28 - 6to4 172.16.0.0/12
• 2002:c000::/40 - 6to4 192.0.0.0/24
• 2002:c0a8::/32 - 6to4 192.168.0.0/16
• 2002:c612::/31 - 6to4 198.18.0.0/15
• 2002:c633:6400::/40 - 6to4 198.51.100.0/24
• 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
• 2002:e000::/20 - 6to4 224.0.0.0/4
• 2002:f000::/20 - 6to4 240.0.0.0/4
• 4000::/3 - Зарезервированный
• 6000::/3 - Зарезервированный
• 8000::/3 - Зарезервированный
• a000::/3 - Зарезервированный
• c000::/3 - Зарезервированный
• e000::/4 - Зарезервированный
• f000::/5 - Зарезервированный
• f800::/6 - Зарезервированный
• fc00::/7 - Уникальный Местный
• fe00::/9 - Зарезервированный
• fe80::/10 - Ссылка Локальная
• fec0::/10- Локальный сайт (устарело, RFC3879 )
• ff00::/8 - Multicast

См. RFC 5156 и список бронирования IANA для справки.

Не блокировать произвольные адреса IPv6 , не действительно зная , что вы делаете. Стоп, это плохая практика. Это, безусловно, нарушит вашу связь так, как вы этого не ожидали. Через некоторое время вы увидите, что ваш IPv6 работает неправильно, затем вы начнете обвинять, что «IPv6 не работает» и т. Д.

Каким бы ни был ваш провайдер, ваш пограничный маршрутизатор уже знает, какие пакеты он может отправлять вам и какие пакеты принимать от вас (ваше беспокойство по поводу подделанных адресов совершенно беспочвенно), и ваша операционная система также знает, что делать с остальными. Все, что вы читали о написании правил брандмауэра 15 лет назад, сегодня уже не применимо.

В настоящее время всякий раз, когда вы получаете пакет с адреса в любом из этих диапазонов, который вы намереваетесь заблокировать, гораздо более вероятно, что он является законным пакетом, который вы неправильно блокируете, чем любая атака. Люди, которые управляют магистралью Интернета, имеют гораздо больше опыта, чем вы, и они уже выполнили свою домашнюю работу должным образом.

Кроме того, список зарезервированных блоков и что ожидать от каждого из них не установлен на скале. Они меняются со временем. Какие бы ожидания вы сегодня ни ожидали, завтра они не будут прежними, тогда ваш брандмауэр будет неправильным и нарушит вашу связь.

Брандмауэры должны защищать и контролировать то, что находится внутри вашей сети. Снаружи это постоянно меняющиеся джунгли.

Вы в основном получили это. Был также RFC для локальных адресов в fec0 :: / 10, но это устарело . Идея IPv6 заключается в том, что NAT больше не нужен, поэтому даже глобально маршрутизируемые адреса могут использоваться во внутренней сети. Вы просто настраиваете свой брандмауэр на блокировку, в зависимости от ситуации.

Кстати, даже в IPv4-классах земли больше не упоминаются. CIDR используется вместо этого.