<div dir="ltr"><div dir="ltr">On Sun, Oct 13, 2019 at 8:58 AM Stephen Satchell <<a href="mailto:list@satchell.net">list@satchell.net</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">The following list is what I'm thinking of using for blocking traffic<br>
between an edge router acting as a firewall and an ISP/upstream.  This<br>
table is limited to address blocks only; TCP/UDP port filtering, and IP<br>
protocol filtering, is a separate discussion.  This is for an<br>
implementation of BCP-38 recommendations.<br></blockquote><div><br></div><div>BCP-38 as it applies to outbound traffic is more about blocking SOURCE IP addresses. You should block everything whose source IP address is not within your assigned address space.<br></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<a href="http://100.64.0.0/10" rel="noreferrer" target="_blank">100.64.0.0/10</a>       Private network Shared address space[3] for<br>
                                    communications between a service<br>
                                    provider and its subscribers<br>
                                    when using a carrier-grade NAT.<br></blockquote><div><br></div><div>This space is set aside for your ISP to use. like RFC1918 but for ISPs. It is not specifically CGNAT. Unless you are an ISP using this space, you should not block destinations in this space.<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<a href="http://224.0.0.0/4" rel="noreferrer" target="_blank">224.0.0.0/4</a>         Internet        In use for IP multicast.<br>
<a href="http://240.0.0.0/4" rel="noreferrer" target="_blank">240.0.0.0/4</a>         Internet        Reserved for future use.<br>
<a href="http://255.255.255.255/32" rel="noreferrer" target="_blank">255.255.255.255/32</a>  Subnet          Reserved for the "limited<br>
                                    broadcast" destination address.<br></blockquote><div><br></div><div>This can be covered with a single rule: <a href="http://224.0.0.0/3">224.0.0.0/3</a><br></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
IPv6<br>
Address block       Usage           Purpose<br>
::/0                Routing         Default route.<br></blockquote><div><br></div><div>The current IPv6 Internet is 2000::/3, not ::/0 and that won't change in the foreseeable future.  You can tighten your filter to allow just that.<br></div><div> </div><div>Regards,</div><div>Bill Herrin</div><div><br></div></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>William Herrin</div><div><a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a></div><div><a href="https://bill.herrin.us/" target="_blank">https://bill.herrin.us/</a><br></div></div></div></div>