<div>Hi,</div><br><div>sorry - but why would you want to block Teredo / 6to4?</div><br><div><signature id="local-b1ecaf2b-d4e9"><table cellpadding="0" cellspacing="0"><tbody><tr><td><div><strong>Florian Brandstetter</strong></div><div style="border-top:2px solid gray;padding-top:3px;margin-top:3px">President & Founder</div><div style="font-size:0.9em;min-width:250px;max-width:300px;margin-top:4px;padding-top:4px"><div><div></div><div><span>W // </span><a href="https://link.getmailspring.com/link/5EDC7C51-257C-47AC-B303-4B5A7F6E9AD9@getmailspring.com/0?redirect=https%3A%2F%2Fwww.globalone.io&recipient=bmFub2dAbmFub2cub3Jn">https://www.globalone.io</a></div><div></div></div></div></td></tr></tbody></table></signature></div><div class="gmail_quote_attribution">On Okt. 13 2019, at 5:58 pm, Stephen Satchell <list@satchell.net> wrote:</div><blockquote><div><div>The following list is what I'm thinking of using for blocking traffic</div><div>between an edge router acting as a firewall and an ISP/upstream. This</div><div>table is limited to address blocks only; TCP/UDP port filtering, and IP</div><div>protocol filtering, is a separate discussion. This is for an</div><div>implementation of BCP-38 recommendations.</div><br><div>I'm trying to decide whether the firewall should just blackhole these</div><div>addresses in the routing table, or use rules in NFTABLES against source</div><div>and destination addresses, or some combination. If NFTABLES, the best</div><div>place to put the blocks (inbound and outbound) would be in the FORWARD</div><div>chain, both inbound and outbound. (N.B. for endpoint boxes, they go</div><div>into the OUTPUT chain.)</div><br><div>In trying to research what would constitute "best practice", the papers</div><div>I found were outdated, potentially incomplete (particularly with</div><div>reference to IPv6), or geared toward other applications. This table</div><div>currently does not have exceptions -- some may need to be added as a</div><div>specific "allow" route or list.</div><br><div>The Linux rp_filter knob is effective for endpoint servers and</div><div>workstations, and I turn it on religiously (easy because it's the</div><div>default). For a firewall router without blackhole routes, it's less</div><div>effective because, for incoming packets, a source address matching one</div><div>of your inside netblocks will pass. A subset of the list would be</div><div>useful in endpoint boxes to relieve pressure on the upstream edge router</div><div>-- particularly if a ne'er-do-well successfully hijacks the endpoint box</div><div>to participate in a DDoS flood.</div><br><div>IPv4</div><div>Address block Scope Description</div><div>0.0.0.0/8 Software Current network (only valid as</div><div>source address).</div><div>10.0.0.0/8 Private network Used for local communications</div><div>within a private network.</div><div>100.64.0.0/10 Private network Shared address space[3] for</div><div>communications between a service</div><div>provider and its subscribers</div><div>when using a carrier-grade NAT.</div><div>127.0.0.0/8 Host Used for loopback addresses to</div><div>the local host.</div><div>169.254.0.0/16 Subnet Used for link-local addresses</div><div>between two hosts on a single</div><div>link when no IP address is</div><div>otherwise specified, such as</div><div>would have normally been</div><div>retrieved from a DHCP server.</div><div>172.16.0.0/12 Private network Used for local communications</div><div>within a private network.</div><div>192.0.0.0/24 Private network IETF Protocol Assignments.</div><div>192.0.2.0/24 Documentation Assigned as TEST-NET-1,</div><div>documentation and examples.</div><div>192.88.99.0/24 Internet Reserved. Formerly used for</div><div>IPv6 to IPv4 relay</div><div>192.168.0.0/16 Private network Used for local communications</div><div>within a private network.</div><div>198.18.0.0/15 Private network Used for benchmark testing of</div><div>inter-network communications</div><div>between two separate subnets.</div><div>198.51.100.0/24 Documentation Assigned as TEST-NET-2,</div><div>documentation and examples.</div><div>203.0.113.0/24 Documentation Assigned as TEST-NET-3,</div><div>documentation and examples.</div><div>224.0.0.0/4 Internet In use for IP multicast.</div><div>240.0.0.0/4 Internet Reserved for future use.</div><div>255.255.255.255/32 Subnet Reserved for the "limited</div><div>broadcast" destination address.</div><br><div>IPv6</div><div>Address block Usage Purpose</div><div>::/0 Routing Default route.</div><div>::/128 Software Unspecified address.</div><div>::1/128 Host Loopback address to local host.</div><div>::ffff:0:0/96 Software IPv4 mapped addresses.</div><div>::ffff:0:0:0/96 Software IPv4 translated addresses.</div><div>64:ff9b::/96 Global Internet IPv4/IPv6 translation.</div><div>100::/64 Routing Discard prefix.</div><div>2001::/32 Global Internet Teredo tunneling.</div><div>2001:20::/28 Software ORCHIDv2.</div><div>2001:db8::/32 Documentation Addresses used in documentation</div><div>and example source code.</div><div>2002::/16 Global Internet The 6to4 addressing scheme</div><div>fc00::/7 Private network Unique local address.</div><div>fe80::/10 Link Link-local address.</div><div>ff00::/8 Global Internet Multicast address.</div></div></blockquote><img class="mailspring-open" alt="Sent from Mailspring" width="0" height="0" style="border:0; width:0; height:0;" src="https://link.getmailspring.com/open/5EDC7C51-257C-47AC-B303-4B5A7F6E9AD9@getmailspring.com?me=06695157&recipient=bmFub2dAbmFub2cub3Jn">