При настройке файрвола иногда хочется достигнуть максимальной защиты. Некоторые просто фильтруют "приватные" адреса на внешних интерфейсах, однако этого недостаточно. Решил сделать полный перечень зарезервированных IP-адресов, тоесть тех, которые не используются в сети Internet.
При написании статьи руководствовался RFC 6890, который отменяет действия предыдущих RFC 4773, 5156, 5735 и 5736.
Описание сетей выполнено в формате того же RFC 6890 (как на меня, то получается более полное видение общей картины), где для каждой сети указываются следующие параметры:
- Address Block - адреса IPv4 блока специального назначения;
- Name - описание для блока специального назначения;
- RFC - RFC, в котором предложено использовать блок как адреса специального назначения;
- Allocation Date - дата выделения блока в адреса специального назначения;
- Termination Date - дата окончания действия распределения (поскольку для всех сетей значение установлено как "N/A", даный параметр упущен);
- Source - логическое значение, указывающее, является ли адрес из адресного блока специального назнечения действительным, при использовании в качестве адреса источника в транзитной IP-дейтаграмме между двумя устройствами;
- Destination - логическое значение, указывающее, является ли адрес из адресного блока специального назнечения действительным, при использовании в качестве адреса назначения в транзитной IP-дейтаграмме между двумя устройствами;
- Forwardable - логическое значение, может ли маршрутизатор пересылать IP-дейтаграммы, адреса назначения которых взяты из адресного блока специального назначения, между внешними интерфейсами;
- Global - логическое значение, указывающее, является ли IP-дейтаграмма, чей адрес назначения взят из адресного блока специального назначения, пересылаемой после отведенного административного домена;
- Reserved-by-Protocol - логическое значение, указывающее, является ли адрес блока специального назначения зарезервирован для себя. Принимает значение "TRUE", если RFC, согласно которому создан этот блок адресов специального назначения, требует, чтобы все совместимые реализации IP протокола вели себя особым образом при обработке пакетов для или от адресов блока специального назначения;
Address Block | Name | RFC | Allocation Date | Source | Destination | Forwardable | Global | Reserved-by-Protocol |
0.0.0.0/8 | "This host on this network" | [RFC1122], Section 3.2.1.3 | September 1981 | True | False | False | False | True |
10.0.0.0/8 | Private-Use | [RFC1918] | February 1996 | True | True | True | False | False |
100.64.0.0/10 | Shared Address Space | [RFC6598] | April 2012 | True | True | True | False | False |
127.0.0.0/8 | Loopback | [RFC1122], Section 3.2.1.3 | September 1981 | False | False | False | False | True |
169.254.0.0/16 | Link Local | [RFC3927] | May 2005 | True | True | False | False | True |
172.16.0.0/12 | Private-Use | [RFC1918] | February 1996 | True | True | True | False | False |
192.0.0.0/24 | IETF Protocol Assignments | [RFC6890], Section 2.1 | January 2010 | False | False | False | False | False |
192.0.0.0/29 | DS-Lite | [RFC6333] | June 2011 | True | True | True | False | False |
192.0.2.0/24 | Documentation (TEST-NET-1) | [RFC5737] | January 2010 | False | False | False | False | False |
192.88.99.0/24 | 6to4 Relay Anycast | [RFC3068] | June 2001 | True | True | True | True | False |
192.168.0.0/16 | Private-Use | [RFC1918] | February 1996 | True | True | True | False | False |
198.18.0.0/15 | Benchmarking | [RFC2544] | March 1999 | True | True | True | False | False |
198.51.100.0/24 | Documentation (TEST-NET-2) | [RFC5737] | January 2010 | False | False | False | False | False |
203.0.113.0/24 | Documentation (TEST-NET-3) | [RFC5737] | January 2010 | False | False | False | False | False |
240.0.0.0/4 | Reserved | [RFC1112], Section 4 | August 1989 | False | False | False | False | True |
255.255.255.255/32 | Limited Broadcast | [RFC0919], Section 7 | October 1984 | False | True | False | False | False |
Так что все эти сети можно использовать для фильтрации при написании ACL. Также не стоит забывать о сети 224.0.0.0/4, которая используется для груповой адресации (multicast).