Portál AbcLinuxu, 8. května 2025 00:53
Množství skriptů konfigurujících iptables má původ v návodech a vzorových skriptech. Málokdo však kontroluje, že IANA v dnešní nouzi o IPv4 přiděluje i dříve rezervované rozsahy, a tak řada firewallů blokuje dnes přidělené adresy.
Ovlivněn přímo tímto problémem apeluji a prosím administrátory, aby provedli kontrolu a případně smazali ze svých skriptů řádky podobné tomuto:
$IPTABLES -A IN_FW -s 96.0.0.0/4 -j logdrop # rezervovano podle IANA
V dnešní době již není rezervován a jeho některé rozsahy jsou přiděleny i v EU, dokonce na území ČR.
Tiskni
Sdílej:
Už aby se plně přešlo na IPv6.
4.2.2010 12:14
houska | skóre: 41
| blog: HW
4.2.2010 12:52
stativ | skóre: 54
| blog: SlaNé roury
4.2.2010 14:55
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
5.2.2010 10:09
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Bezstavová autokonfigurace říká 64 bitů a nikdy jinak.
Podle mě je to ale blbost. Stejně je nutné dělat DAD a případně si vylosovat jinou adresu. Jestli by prostor pro autokonfiguraci byl menší, by zas tolik nevadit nemělo. Stejně na global scope je potřeba oznámení směrovače, které když už dnes může nést i adresu rekurzivního DNS serveru, tak by mohlo nést informaci o velikosti prefixu.
Stejně je nutné dělat DAD a případně si vylosovat jinou adresu.
Proč? Pokud se všichni budou chovat korektně, není k tomu důvod. Staticky přidělované adresy jsou disjunktní s adresami pro autokonfiguraci, při autokonfiguraci různé MAC adresy vedou na různé IP adresy a pokud by z nějakého důvodu měla dvě zařízení stejnou MAC adresu, tak už je to stejně jedno. Pokud se někde bude chtít záměrně chovat nekorektně, tak si místo IPv6 adresy může rovnou nastavit stejnou MAC adresu.
Protože RFC, protože identifikátor rozhraní se v případě neexistence linkové adresy odvozuje od jiných (třeba pseudonáhodných) údajů. Už jste zkoušel IPv6 na plip (IP přes paralelní port)? Já ano. (Námět ke studiu: stav adresy tentative.)
Ano, staticky přidělované adresy jsou od automatických rozlišitelné podle hodnoty určitého bitu.
Jinak celková odpověď na proč: Protože 64bitová podsíť je podle mě zbytečně velká. Běžné L2 sítě mají a asi vždy budou mít mnohem méně zařízení, než abychom se strachovali o kolize (které stejně hlídá DAD). Kdyby byla třeba jen 32bitová, tak by jsme získaly obrovský prostor pro domácí strukturování.
5.2.2010 02:16
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
4.2.2010 17:17
stativ | skóre: 54
| blog: SlaNé roury
5.2.2010 18:15
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ale ono to až tak k smíchu není: http://wiki.khnet.info/index.php/Problematicke_weby a to mám ještě výhodu, že můžu zkoušet ze starších adres. Kdybych je neměl, tak nevím co s tím ...
6.2.2010 12:49
dmnc_net | skóre: 12
| blog: dmnc
(blokujete jeste uvolnene rozsahy: Nikdy, do nedavna (po upozorneni), stale , nemam firewall ... doplneno alespon o odkaz na tuto zpravicku)
4.2.2010 12:12
Rezza | skóre: 25
| blog: rezza
| Brno
On ten Firehol mel strasne pekny konfigurak, na prvni pohled bylo videt co se deje, kde co se blokuje - ale na te vyssi urovni. Jak se clovek podival, kolik to vygenerovalo pravidel a v tom jedno spatne...
4.2.2010 14:57
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
4.2.2010 17:09
Rezza | skóre: 25
| blog: rezza
| Brno
.
4.2.2010 12:53
dmnc_net | skóre: 12
| blog: dmnc
Plno pocitacu ma spatne nakonfigurovany firewall i ve spouste dalsich ohledu, nemeli bychom filtrovani oznacit za hrubou chybu vseobecne a firewally zakazat? Jestli znate nejake legitimni vyuziti pro nepridelenou adresu volne pobihajici po verejnem internetu, tak sem s nim.
Jestli znate nejake legitimni vyuziti pro nepridelenou adresu volne pobihajici po verejnem internetu, tak sem s nim.
Znám: někomu ji přidělit.
Pak už ne. Jenže ten status se může kdykoli změnit a navíc současný status je takový, že dost zřetelně naznačuje, že se počítá s tím, že k takové změně dojde. Vzhledem k tomu nemůžu považovat za rozumné zakazovat komunikaci s takovými adresami, zvlášť když to nic nepřináší.
Trochu mi to připomíná některé autory konfigurací, kteří si po svém vyložili pokyn "must be zero" ve specifikaci IP protokolu u nejnižšího bitu pole ToS. Kvůli jejich lidové tvořivosti se teď nejde do některých sítí dostat, pokud si nezakážete používání ECN.
Ze jedni lide pisi kraviny a jini lide jim je veri, je nesvar obecneho razu.
Firewall se da nakonfigurovat spatne, ale to neznamena, ze to taky nejde udelat spravne.
Jistě, jde to udělat správně. Já ale tvrdím, že pokud někdo automaticky blokuje rozsahy, které nejsou rezervované pro nějaký speciální účel, ale pouze zatím nebyly nikomu přiděleny, je to chyba. A tato zprávička ukazuje, k čemu takový postup ve většině případů vede.
Pokud si někdo ve své soukromé konfiguraci blokuje dosud nepřidělené /8 a hlídá si, jestli se jejich status nezměnil, je to v pořádku. Když někdo blokování takových rozsahů nasype do ukázkové konfigurace v nějakém tutorialu a ani se nezmíní o tom, že zmíněný status takových rozsahů není "na věčné časy a nikdy jinak", ale jen do chvíle, kdy budou někomu přiděleny, pak je to chyba.
... což IMHO nijak nevylučuje jejich využití...Správci firewallů nejsou na nějaké IMHO zvědaví. "Reserved" jednoduše znamená že dané adresy nejsou povolené. Co není povolené, se na firewallu zakazuje a hotovo.
iptables, ale Netfilter (pomocí iptables).
4.2.2010 12:50
dmnc_net | skóre: 12
| blog: dmnc
)
... tak jsem to zrusil, i na heslo jsem si vzpomnel )
4.2.2010 17:57
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
4.2.2010 20:38
stanger | skóre: 18
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.