Início / server / Perguntas / 1155832
Accepted
Top-Master
Asked: 2024-03-07 18:04:27 +0800 CST

Excluir sub-rede local (intervalos de IP locais)

  • 772

No aplicativo VPN da minha empresa, temos um recurso desabilitado que exclui a lista abaixo de intervalos de endereços IP que não são de sites da Web de serem roteados para o servidor VPN.

Isso permite que os aplicativos da rede local continuem funcionando mesmo se a VPN estiver ativa e, além disso, alguns Anti-VPN verificam esses endereços (para ver se a VPN está ativa ou não).

Minha pergunta é: existe algum intervalo de IP que devemos adicionar e/ou remover da lista?

Além disso, mencionar a RFC relacionada seria útil, mas não obrigatório.

AVISO: adicionar muito à Lista significa vazar pacotes do site, e remover muito significa que os aplicativos da rede local podem não funcionar.

Lista:

Lenda:

  • Por exemplo, a {172,16,0,0 , 12},entrada significa 172.16.0.0/12.
  • Onde, os primeiros 4 campos MyTypeespecificam a base do endereço IP.
  • O 5º campo especifica a “máscara”.

Entradas:

MyType localSubnets[] = {
    // Address ranges below are reserved by IANA for private intranets,
    // and not routable to the Internet
    // (For additional information, see RFC 1918).
    {10,0,0,0 , 8}, {10,170,60,224 , 27},
    {172,16,0,0 , 12},
    {192,168,0,0 , 16},
    // Reserved and special use addresses:
    {0,0,0,0 , 8}, // Current network (only valid as source address) RFC 1700
    {127,0,0,0 , 8}, // Loopback IP addresses (refers to self) RFC 5735
    {192,0,0,0 , 24}, // Reserved (IANA) RFC 5735
    {192,88,99,0 , 24}, // IPv6 to IPv4 relay. RFC 3068

    {198,18,0,0 , 15}, // Network benchmark tests. RFC 2544
    {198,51,100,0 , 24}, // TEST-NET-2. RFC 5737
    {203,0,113,0 , 24}, // TEST-NET-3. RFC 5737
    {224,0,0,0 , 4}, // Reserved for multicast addresses. RFC 3171
    // Reserved (former Class E network) RFC 1700
    {255,255,255,255 , 32} // Broadcast address (limited to all other nodes on the LAN) RFC 919
};
vpn

2 respostas

  1. Best Answer

    Você pode considerar adicionar:

    • 169.254.0.0/16 – RFC 3927 – O bloco projetado para endereços de link local. Esses endereços são atribuídos automaticamente a dispositivos na rede local quando o servidor DHCP não está disponível. Eles têm escopo limitado e não são roteáveis ​​além do segmento da rede local
    • 240.0.0.0/4 – Este bloco é reservado para fins futuros e não deve ser usado para nenhum aplicativo atual (Registro de Espaço de Endereço IP da IANA)
    • 64.44.0.0/16 - RFC 6459 - Usado para uso privado para NAT de nível de operadora. Este bloco permite que os provedores de serviços criem espaços de endereço privados para seus clientes por trás de um grande dispositivo NAT.
    • 100.64.0.0/10 - RFC 6598 - Designado para espaço de endereço compartilhado para NAT de nível de operadora. Isso permite que vários provedores de serviços compartilhem um conjunto de endereços para seus clientes por trás de dispositivos NAT.
    • 233.252.0.0/14 – RFC 791 – Multicast para escopo local. Permite comunicação eficiente dentro de um segmento de rede local sem necessidade de roteamento individual para cada dispositivo
    • 239.255.0.0/16 – RFC 3171 – este bloco é designado para endereços multicast de escopo limitado. Esses endereços são usados ​​para fins específicos, como descoberta de serviços em uma rede local.
    • 1

  2. Acho que o OP deveria adicionar 169.254.203.0/24à lista, como:

    {169,254,203,0 , 24}, // Link-local address.

    Observe que eu sou o OP'er, mas ainda não tive certeza o suficiente para adicioná-lo à lista.

    • 0

relate perguntas