鉴于Stack Exchange 站点禁止 IP,我想知道是否有关于根据用户的 IP 制定规则以指示行为的共同意见或策略。
使用 IPv4,对于给定的 IP,您可以相当可靠地假设一些事情:
使用 IPv6,您能承担所有这些吗?我想至少第二点将不再是真的,因为 NAT'ing 应该基本上与 IPv6 一起消失,因为任何想要一个的人都会有足够的 IP。
如果您有一套基于 IP 的策略,由于两者之间的差异,需要为 IPv6 做哪些考虑?
对于 IPv6,我认为没有完美的解决方案。但是有很多事情需要考虑:
/64向个人客户提供子网。(有足够的东西可以四处走动。)/64每个办公室可能至少有一个。/64和之间的前缀/126。(了解为什么他们一般不使用 /127)这可能是一个目光短浅的 ISP,或者是一个想要为完整的/64. 每个端点(可能是一个完整的客户网络)真的没有理由不应该是/64./64,人们可以看到在接口标识符(见第6位第3.2.1节的RFC 4941),以检查它是否基于全局唯一标识符(MAC地址)中的可能产生。这显然不是万无一失的。但是,如果设置了该位,则可能表明该地址是从 MAC 地址生成的。因此,可以根据最后 64 位阻止 IPv6 地址,并且无论用户来自哪个子网,都可能被阻止。(也许最好将此用作“提示”,因为 MAC 地址虽然应该是全球唯一的,但实际上并不总是如此。另外,它们很容易被欺骗。但任何精明的人可能会发现它更容易被欺骗/64无论如何,抓住一个并获得 2^64 个唯一地址。)/64,但要小心,因为您可能会阻塞某人的整个公司办公室。我会说最好的方法是首先查看单个地址,然后考虑地址的最后 64 位以及来自特定/64子网的滥用模式,以实施阻止策略。总结一下:
/128IP 地址(就像您今天使用 IPv4 所做的那样)/64,阻止整个/64具有良好的错误信息,以便有问题的网络管理员可以做,可以在他/她到底做了些什么力所能及的工作需求。祝你好运。
| 归档时间: |
|
| 查看次数: |
1843 次 |
| 最近记录: |