Reserved IPv4 addresses - зарезервированные IPv4 адреса

Версия для печатиОтправить другуPDF version

При настройке файрвола иногда хочется достигнуть максимальной защиты. Некоторые просто фильтруют "приватные" адреса на внешних интерфейсах, однако  этого недостаточно. Решил сделать полный перечень зарезервированных IP-адресов, тоесть тех, которые не используются в сети Internet.

При написании статьи руководствовался RFC 6890, который отменяет действия предыдущих RFC 4773, 5156, 5735 и 5736.

Описание сетей выполнено в формате того же RFC 6890 (как на меня, то получается более полное видение общей картины), где для каждой сети указываются следующие параметры:

  • Address Block - адреса IPv4 блока специального назначения;
  • Name - описание для блока специального назначения;
  • RFC - RFC, в котором предложено использовать блок как адреса специального назначения;
  • Allocation Date - дата выделения блока в адреса специального назначения;
  • Termination Date - дата окончания действия распределения (поскольку для всех сетей значение установлено как "N/A", даный параметр упущен);
  • Source - логическое значение, указывающее, является ли адрес из адресного блока специального назнечения действительным, при использовании в качестве адреса источника в транзитной IP-дейтаграмме между двумя устройствами;
  • Destination - логическое значение, указывающее, является ли адрес из адресного блока специального назнечения действительным, при использовании в качестве адреса назначения в транзитной IP-дейтаграмме между двумя устройствами;
  • Forwardable - логическое значение, может ли маршрутизатор пересылать IP-дейтаграммы, адреса назначения которых взяты из адресного блока специального назначения, между внешними интерфейсами;
  • Global - логическое значение, указывающее, является ли IP-дейтаграмма, чей адрес назначения взят из адресного блока специального назначения, пересылаемой после отведенного административного домена;
  • Reserved-by-Protocol - логическое значение, указывающее, является ли адрес блока специального назначения зарезервирован для себя. Принимает значение "TRUE", если RFC, согласно которому создан этот блок адресов специального назначения, требует, чтобы все совместимые реализации IP протокола вели себя особым образом при обработке пакетов для или от адресов блока специального назначения;
Address Block Name RFC Allocation Date Source Destination Forwardable Global Reserved-by-Protocol
0.0.0.0/8 "This host on this network" [RFC1122], Section 3.2.1.3 September 1981 True False False False True
 10.0.0.0/8  Private-Use  [RFC1918]  February 1996  True  True  True  False  False
 100.64.0.0/10  Shared Address Space  [RFC6598]  April 2012  True  True  True  False  False
 127.0.0.0/8  Loopback  [RFC1122], Section 3.2.1.3  September 1981  False  False  False  False  True
169.254.0.0/16  Link Local  [RFC3927]  May 2005  True  True  False  False  True
 172.16.0.0/12  Private-Use  [RFC1918]  February 1996  True True  True  False  False
 192.0.0.0/24  IETF Protocol Assignments  [RFC6890], Section 2.1  January 2010  False  False  False  False  False
 192.0.0.0/29  DS-Lite  [RFC6333]  June 2011  True  True  True  False False
 192.0.2.0/24  Documentation (TEST-NET-1)  [RFC5737]  January 2010  False  False False False False 
 192.88.99.0/24  6to4 Relay Anycast  [RFC3068]  June 2001  True True True True  False
 192.168.0.0/16 Private-Use  [RFC1918] February 1996 True True True False False
 198.18.0.0/15 Benchmarking [RFC2544] March 1999 True True True False False
 198.51.100.0/24 Documentation (TEST-NET-2) [RFC5737] January 2010 False False False False False
203.0.113.0/24 Documentation (TEST-NET-3) [RFC5737] January 2010 False False False False False
 240.0.0.0/4 Reserved [RFC1112], Section 4 August 1989 False False False False True
255.255.255.255/32 Limited Broadcast [RFC0919], Section 7 October 1984 False True False False False

Так что все эти сети можно использовать для фильтрации при написании ACL. Также не стоит забывать о сети 224.0.0.0/4, которая используется для груповой адресации (multicast).

 

Ваша оценка: Нет Средняя: 5 (2 голоса)

Re: Reserved IPv4 addresses - зарезервированные IPv4 адреса

Подсети 192.0.0.0/24, 192.0.0.0/29, 192.0.2.0/24 автоматически включаются в подсеть 192.168.0.0/16. Зачем их разделять? Итого, как минимум на 2 правила в файерволе будет больше.

Re: Reserved IPv4 addresses - зарезервированные IPv4 адреса

Недоглядел )), ошибка вышла

Re: Reserved IPv4 addresses - зарезервированные IPv4 адреса

Да, подсеть 192.0.0.0/29 входит в 192.0.0.0/24. Но я ее указал, поскольку она в RFC описана отдельно. А в файрволе можно фильтровать всю 192.0.0.0/24. А вот 192.0.0.0/24 и 192.0.2.0/24 не перекрываются. Между ними есть маршрутизируемая подсеть 192.0.1.0/24, однако в таблице BGP я ее не наблюдаю :)

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".

Вставай, Україно!

Литература

А кофе на клавиатуру тоже вирус пролил?