Jau*_*ika 13 networking iptables ipv6
我正在转换我的旧的基于 IPV4 的 iptables 防火墙脚本,并希望将 CLASS A/B/C/D/E 保留地址空间替换为在 IPV6 中找到的地址空间。我的目标是拒绝来自这些地址的任何数据包,因为它们无法到达公共网络,因此它们必须被欺骗。
到目前为止,我已经找到了这些,是否还有更多保留空间,没有数据可以进入 IPV6 网络服务器?
环回::1
全球单播(目前)2000::/3
唯一本地单播 FC00::/7
链接本地单播 FE80::/10
多播 FF00::/8
Sha*_*den 19
::/8 - 保留 - 弃用 IPv4 兼容是 ::/960200::/7 - 预订的0400::/6 - 预订的0800::/5 - 预订的1000::/4 - 预订的2001:db8::/32 - 文件2002::/24 - 6to4 0.0.0.0/82002:0a00::/24 - 6to4 10.0.0.0/82002:7f00::/24 - 6to4 127.0.0.0/82002:a9fe::/32 - 6to4 169.254.0.0/162002:ac10::/28 - 6to4 172.16.0.0/122002:c000::/40 - 6to4 192.0.0.0/242002:c0a8::/32 - 6to4 192.168.0.0/162002:c612::/31 - 6to4 198.18.0.0/152002:c633:6400::/40 - 6to4 198.51.100.0/242002:cb00:7100::/40 - 6to4 203.0.113.0/242002:e000::/20 - 6to4 224.0.0.0/42002:f000::/20 - 6to4 240.0.0.0/44000::/3 - 预订的6000::/3 - 预订的8000::/3 - 预订的a000::/3 - 预订的c000::/3 - 预订的e000::/4 - 预订的f000::/5 - 预订的f800::/6 - 预订的fc00::/7 - 独特的本地fe00::/9 - 预订的fe80::/10 - 链接本地fec0::/10- 站点本地(已弃用,RFC3879)ff00::/8 - 多播请参阅RFC 5156和IANA 的保留列表以供参考。
不要没有阻止任意IPv6地址真的知道自己在做什么。停止,这是不好的做法。这肯定会以您意想不到的方式破坏您的连接。一段时间后,您会发现您的 IPv6 运行不正常,然后您会开始责怪“IPv6 不起作用”等。
无论您的 ISP 是什么,您的边缘路由器都已经知道它可以向您发送哪些数据包以及从您那里接受哪些数据包(您对欺骗地址的担忧完全没有根据),并且您的操作系统也知道如何处理其余的数据包。无论您在 15 年前左右阅读关于编写防火墙规则的任何内容,今天都不再适用。
如今,无论何时,只要您从您打算阻止的任何这些范围内的地址中接收到数据包,与任何类型的攻击相比,您错误阻止的合法数据包都更有可能发生。管理互联网骨干的人比你有更多的经验,他们已经做好了功课。
此外,保留块的列表以及对每个块的期望也不是一成不变的。它们会随着时间而改变。无论您今天有什么期望,明天都将不再相同,那么您的防火墙就会出错并破坏您的连接。
防火墙应该保护和监控网络内部的内容。外面是一个不断变化的丛林。
| 归档时间: |
|
| 查看次数: |
1209 次 |
| 最近记录: |