私は古き良きIPV4ベースのiptablesファイアウォールスクリプトを変換しています。CLASSA / B / C / D / Eの予約済みアドレススペースをIPV6で見つかったものに置き換えたいと思います。私の目標は、これらのアドレスから発信されるパケットを拒否することです。これらのパケットはパブリックネットに到達できないため、偽装する必要があります。
私はこれをこれまで見つけましたが、IPV6 Webサーバーにデータが届かない予約スペースはありますか?
ループバック:: 1
グローバルユニキャスト(現在)2000 :: / 3
一意のローカルユニキャストFC00 :: / 7
リンクローカルユニキャストFE80 :: / 10
マルチキャストFF00 :: / 8
回答:
::/8 -予約済み-非推奨のIPv4互換性は ::/960200::/7 -予約済み0400::/6 -予約済み0800::/5 -予約済み1000::/4 -予約済み2001:db8::/32 - ドキュメンテーション2002::/24 -6to4 0.0.0.0/82002:0a00::/24 -6to4 10.0.0.0/82002:7f00::/24 -6to4 127.0.0.0/82002:a9fe::/32 -6to4 169.254.0.0/162002:ac10::/28 -6to4 172.16.0.0/122002:c000::/40 -6to4 192.0.0.0/242002:c0a8::/32 -6to4 192.168.0.0/162002:c612::/31 -6to4 198.18.0.0/152002:c633:6400::/40 -6to4 198.51.100.0/242002:cb00:7100::/40 -6to4 203.0.113.0/242002:e000::/20 -6to4 224.0.0.0/42002:f000::/20 -6to4 240.0.0.0/44000::/3 -予約済み6000::/3 -予約済み8000::/3 -予約済みa000::/3 -予約済みc000::/3 -予約済みe000::/4 -予約済みf000::/5 -予約済みf800::/6 -予約済みfc00::/7 -ユニークなローカルfe00::/9 -予約済みfe80::/10 -リンクローカルfec0::/10-サイトローカル(非推奨、RFC3879)ff00::/8 -マルチキャスト参考のため、RFC 5156およびIANAの予約リストを参照してください。
あなたが何をしているかを本当に知らずに、任意のIPv6アドレスをブロックしないでください。やめて、これは悪い習慣です。これにより、予期しない方法で接続が確実に切断されます。しばらくすると、IPv6が正しく動作しないことがわかり、「IPv6が機能しない」などと非難し始めます。
ISPが何であれ、エッジルーターは送信可能なパケットと、受信するパケットを既に知っています(スプーフィングされたアドレスに関する懸念はまったく根拠がありません)。また、オペレーティングシステムも残りの処理を知っています。15年ほど前のファイアウォールルールの記述について読んだものは、今日ではもう当てはまりません。
最近では、ブロックしようとしているこれらの範囲のアドレスからパケットを受信するたびに、あらゆる種類の攻撃よりも不正にブロックしている正当なパケットである可能性が高くなります。インターネットのバックボーンを管理する人々は、あなたよりもはるかに多くの経験を持ち、すでに適切に宿題をしました。
また、予約済みブロックのリストと、各ブロックに何を期待するかはロックされていません。それらは時間とともに変化します。今日の期待が明日と同じでなくなると、ファイアウォールが間違って接続が切断されます。
ファイアウォールは、ネットワークの内部にあるものを保護および監視することになっています。外は常に変化するジャングルです。
2000::/3。..空き領域が不足