Quels sont les espaces d'adressage réservés IPV6?

13

Je convertis mon bon vieux script de pare-feu iptables basé sur IPV4 et je voudrais remplacer les espaces d'adressage réservés de CLASSE A / B / C / D / E par ceux trouvés dans IPV6. Mon objectif est de refuser tous les paquets provenant de ces adresses, car ceux-ci ne peuvent pas atteindre le réseau public, ils doivent donc être usurpés.

Je les ai trouvés jusqu'à présent, y a-t-il d'autres espaces réservés, où aucune donnée ne pourrait arriver vers un serveur Web IPV6?

Boucle :: 1

Unicast mondial (actuellement) 2000 :: / 3

Unicast local unique FC00 :: / 7

Lien Local Unicast FE80 :: / 10

Multicast FF00 :: / 8

networking iptables ipv6 Jauzsika
la source

Réponses:

19
  • ::/8 - Réservé - Compatible avec IPv4 déconseillé est ::/96
  • 0200::/7 - Réservé
  • 0400::/6 - Réservé
  • 0800::/5 - Réservé
  • 1000::/4 - Réservé
  • 2001:db8::/32 - Documentation
  • 2002::/24 - 6to4 0.0.0.0/8
  • 2002:0a00::/24 - 6to4 10.0.0.0/8
  • 2002:7f00::/24 - 6to4 127.0.0.0/8
  • 2002:a9fe::/32 - 6to4 169.254.0.0/16
  • 2002:ac10::/28 - 6to4 172.16.0.0/12
  • 2002:c000::/40 - 6to4 192.0.0.0/24
  • 2002:c0a8::/32 - 6to4 192.168.0.0/16
  • 2002:c612::/31 - 6to4 198.18.0.0/15
  • 2002:c633:6400::/40 - 6to4 198.51.100.0/24
  • 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
  • 2002:e000::/20 - 6to4 224.0.0.0/4
  • 2002:f000::/20 - 6to4 240.0.0.0/4
  • 4000::/3 - Réservé
  • 6000::/3 - Réservé
  • 8000::/3 - Réservé
  • a000::/3 - Réservé
  • c000::/3 - Réservé
  • e000::/4 - Réservé
  • f000::/5 - Réservé
  • f800::/6 - Réservé
  • fc00::/7 - Local unique
  • fe00::/9 - Réservé
  • fe80::/10 - Lien local
  • fec0::/10- Site Local (obsolète, RFC3879 )
  • ff00::/8 - Multidiffusion

Voir la RFC 5156 et la liste de réservation de l'IANA pour référence.

Shane Madden
la source
2
L'IANA maintient également une liste de préfixes réservés (avec des références RFC) à iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
voretaq7
@ voretaq7 J'en ai trouvé quelques autres à ajouter aussi. Faites de cette réponse un wiki communautaire - modifiez-le.
Shane Madden
2
techniquement parlant, la liste 6to4 est incomplète: toute adresse IPv4 qui est actuellement un bogon doit également être traitée comme telle sous forme 6to4. Si le filtrage complet des bogons est important pour vous, vous devriez consulter la liste des bogons de Team Cymru.
Olipro
7

Ne bloquez pas les adresses IPv6 arbitraires sans vraiment savoir ce que vous faites. Arrêtez, c'est une mauvaise pratique. Cela rompra certainement votre connectivité d'une manière inattendue. Un peu plus tard, vous verrez que votre IPv6 ne se comporte pas correctement, puis vous commencerez à blâmer que "IPv6 ne fonctionne pas", etc.

Quel que soit votre FAI, votre routeur de périphérie sait déjà quels paquets il peut vous envoyer et quels paquets accepter de vous (votre préoccupation concernant les adresses usurpées est totalement sans fondement), et votre système d'exploitation sait également quoi faire avec le reste. Tout ce que vous avez lu sur l'écriture de règles de pare-feu il y a environ 15 ans ne s'applique plus aujourd'hui.

De nos jours, chaque fois que vous recevez un paquet d'une adresse dans l'une de ces plages que vous avez l'intention de bloquer, il est beaucoup plus probable qu'il s'agisse d'un paquet légitime que vous bloquez incorrectement que toute sorte d'attaque. Les gens qui gèrent l'épine dorsale d'Internet ont beaucoup plus d'expérience que vous et ils ont déjà fait leurs devoirs correctement.

De plus, la liste des blocs réservés et ce à quoi s'attendre de chacun d'eux n'est pas définie sur le rock. Ils changent avec le temps. Quelles que soient vos attentes aujourd'hui ne seront plus les mêmes demain, alors votre pare-feu sera erroné et rompra votre connectivité.

Les pare-feu sont censés protéger et surveiller ce qui se trouve à l' intérieur de votre réseau. L'extérieur est une jungle en constante évolution.

Juliano
la source
1
Vous dites qu'un paquet avec une adresse source d'une plage non valide ou privée est plus susceptible d'être légitime que non? Cela ne correspond pas exactement au monde réel, je suis désolé de le dire; Il est naïf de faire confiance à chaque FAI du monde entier pour effectuer une vérification de chemin inverse ou un filtrage des adresses source de leurs pairs contre le trafic usurpé en votre nom. À en juger par la quantité de trafic unicast avec des sources usurpées que je vois quotidiennement sur les pare-feu, je ne pense vraiment pas que ce soit une préoccupation d'il y a des décennies. Et nous devrions tous être morts depuis longtemps avant de 2000::/3manquer d'espace libre.
Shane Madden
Oui, le diable ne dort jamais :).
Jauzsika
1
Voir par exemple, tools.ietf.org/html/draft-fuller-240space-02 . Maintenant, tous ceux qui ont un boîtier spécial 240/4 ont des problèmes théoriques.
jørgensen
1

Vous l'avez essentiellement. Il y avait aussi un RFC pour les adresses de site local dans fec0 :: / 10 mais cela est obsolète . L'idée avec IPv6 est que le NAT n'est plus nécessaire, donc même des adresses routables globalement peuvent être utilisées sur un réseau interne. Vous configurez simplement votre pare-feu pour bloquer, le cas échéant.

Soit dit en passant, même dans les classes IPv4-land ne sont plus mentionnées. CIDR est utilisé à la place.

James O'Gorman
la source