พื้นที่ที่อยู่ IPV6 ที่สำรองไว้คืออะไร

ฉันกำลังแปลงสคริปต์ไฟร์วอลล์ iptables เก่าที่ดีของฉันและต้องการแทนที่พื้นที่ที่อยู่ที่สงวนไว้ CLASS A / B / C / D / E เป็นที่อยู่ใน IPV6 เป้าหมายของฉันคือปฏิเสธแพ็กเก็ตใด ๆ ที่มาจากที่อยู่เหล่านี้เนื่องจากสิ่งเหล่านี้ไม่สามารถเข้าถึงเครือข่ายสาธารณะได้ดังนั้นจึงต้องทำการปลอมแปลง

ฉันได้พบสิ่งเหล่านี้จนถึงขณะนี้มีช่องว่างที่สงวนไว้อีกต่อไปแล้วไม่มีข้อมูลใดที่สามารถเข้าสู่เว็บเซิร์ฟเวอร์ IPV6 ได้

ลูปแบ็ค :: 1

Global Unicast (ปัจจุบัน) 2000 :: / 3

Unique Local Unicast FC00 :: / 7

Link Local Unicast FE80 :: / 10

Multicast FF00 :: / 8

• ::/8 - สงวนไว้ - รองรับ IPv4 ที่เลิกใช้แล้วคือ ::/96
• 0200::/7 - ที่สงวนไว้
• 0400::/6 - ที่สงวนไว้
• 0800::/5 - ที่สงวนไว้
• 1000::/4 - ที่สงวนไว้
• 2001:db8::/32 - เอกสารประกอบ
• 2002::/24 - 6to4 0.0.0.0/8
• 2002:0a00::/24 - 6to4 10.0.0.0/8
• 2002:7f00::/24 - 6to4 127.0.0.0/8
• 2002:a9fe::/32 - 6to4 169.254.0.0/16
• 2002:ac10::/28 - 6to4 172.16.0.0/12
• 2002:c000::/40 - 6to4 192.0.0.0/24
• 2002:c0a8::/32 - 6to4 192.168.0.0/16
• 2002:c612::/31 - 6to4 198.18.0.0/15
• 2002:c633:6400::/40 - 6to4 198.51.100.0/24
• 2002:cb00:7100::/40 - 6to4 203.0.113.0/24
• 2002:e000::/20 - 6to4 224.0.0.0/4
• 2002:f000::/20 - 6to4 240.0.0.0/4
• 4000::/3 - ที่สงวนไว้
• 6000::/3 - ที่สงวนไว้
• 8000::/3 - ที่สงวนไว้
• a000::/3 - ที่สงวนไว้
• c000::/3 - ที่สงวนไว้
• e000::/4 - ที่สงวนไว้
• f000::/5 - ที่สงวนไว้
• f800::/6 - ที่สงวนไว้
• fc00::/7 - ท้องถิ่นที่ไม่ซ้ำกัน
• fe00::/9 - ที่สงวนไว้
• fe80::/10 - เชื่อมโยงท้องถิ่น
• fec0::/10- ไซต์ท้องถิ่น (คัดค้านRFC3879 )
• ff00::/8 - มัลติคาสต์

ดูRFC 5156และรายการสำรองของ IANAสำหรับการอ้างอิง

อย่าปิดกั้นอยู่ IPv6 โดยพลการโดยไม่ได้จริงๆรู้ว่าสิ่งที่คุณกำลังทำ หยุดนี่เป็นการปฏิบัติที่ไม่ดี สิ่งนี้จะทำลายการเชื่อมต่อของคุณในแบบที่คุณไม่คาดคิด ในภายหลังคุณจะเห็นว่า IPv6 ของคุณทำงานไม่ถูกต้องจากนั้นคุณจะเริ่มโทษว่า "IPv6 ใช้งานไม่ได้" เป็นต้น

ไม่ว่า ISP ของคุณคืออะไรเราเตอร์ Edge ของคุณรู้อยู่แล้วว่าแพ็คเก็ตใดที่สามารถส่งถึงคุณและแพ็คเก็ตใดที่จะยอมรับจากคุณ (ความกังวลของคุณเกี่ยวกับที่อยู่ปลอมแปลงนั้นไม่มีมูลความจริงทั้งหมด) สิ่งที่คุณอ่านเกี่ยวกับการเขียนกฎไฟร์วอลล์ 15 ปีที่ผ่านมาจะไม่สามารถใช้งานได้อีกต่อไป

ทุกวันนี้เมื่อใดก็ตามที่คุณได้รับแพ็คเก็ตจากที่อยู่ในช่วงใดช่วงหนึ่งที่คุณตั้งใจจะปิดกั้นมันมีแนวโน้มที่จะเป็นแพ็กเก็ตที่ถูกกฎหมายที่คุณบล็อกอย่างไม่ถูกต้องมากกว่าการโจมตีทุกประเภท คนที่จัดการกระดูกสันหลังของอินเทอร์เน็ตมีประสบการณ์มากกว่าคุณมากและพวกเขาทำการบ้านอย่างถูกต้องแล้ว

นอกจากนี้รายการของบล็อกที่สงวนไว้และสิ่งที่คาดหวังจากแต่ละบล็อกนั้นไม่ได้ตั้งอยู่บนหิน พวกเขาเปลี่ยนไปตามกาลเวลา ไม่ว่าคุณจะคาดหวังอะไรในวันนี้จะไม่เหมือนเดิมในวันพรุ่งนี้อีกต่อไปไฟร์วอลล์ของคุณจะผิดและทำลายการเชื่อมต่อของคุณ

ไฟร์วอลล์ควรปกป้องและตรวจสอบสิ่งที่อยู่ภายในเครือข่ายของคุณ ด้านนอกเป็นป่าที่เปลี่ยนแปลงตลอดเวลา

โดยพื้นฐานแล้วคุณได้รับมัน นอกจากนี้ยังมี RFC ที่อยู่เว็บไซต์ท้องถิ่นใน fec0 :: / 10 แต่ตอนนี้ได้รับการคัดค้าน แนวคิดเกี่ยวกับ IPv6 คือไม่จำเป็นต้องใช้ NAT อีกต่อไปดังนั้นแม้แต่ที่อยู่ที่สามารถกำหนดเส้นทางได้ทั่วโลกสามารถใช้กับเครือข่ายภายใน คุณเพียงกำหนดค่าไฟร์วอลล์ของคุณให้บล็อกตามความเหมาะสม

ยังไงก็ตามแม้กระทั่งในชั้นเรียน IPv4-land จะไม่ถูกอ้างถึงอีกต่อไป ใช้ CIDRแทน