Liste de subnets à bloquer d’office en entrée/sortie d’Internet

Sur Internet, en IPv4, un certain nombre de subnets sont réservés pour différents usages. Bien entendu on pense tout de suite à la RFC1918 avec les bien connus 192.168.0.0/16, 10.0.0.0/8 et 172.16.0.0/12. Mais il en y en a d’autres ! Subnets de documentation, Carrier-Grade NAT, etc…Dans les faits, si vous recevez un flux depuis Internet vers votre réseau local, avec ces IP là, ce n’est pas normal. Par ailleurs, aucun flux à destination de ces IP ne devraient sortir sur Internet.

Donc voici quelques subnets que vous pouvez bloquer sur votre firewall sur l’interface WAN :

Subnet RFC Nom Commentaire
10.0.0.0/8 RFC1918 PrivNet-LAN-ClassA  
172.16.0.0/12 RFC1918 PrivNet-LAN-ClassB  
172.16.0.0/12 RFC1918 PrivNet-LAN-ClassC  
100.64.0.0/10 RFC6598 PrivNet-Carrier-grade-NAT Ce subnet est réservé aux opérateurs proposant un accès à Internet à leurs clients sans leur attribuer d’IP publiques. C’est le cas par exemple des opérateurs mobiles.
192.0.0.0/24 RFC5736 PrivNet-Reserved-For-IETF  
198.18.0.0/15 RFC2544 PrivNet-Inter-Network-Comm  
169.254.0.0/16 RFC3927 Host-APIPA Ces IP sont attribuées aléatoirement par le système d’exploitation quand aucun DHCP n’est détecté sur le réseau local.
192.0.2.0/24 RFC5737 Doc-TEST-NET  
198.51.100.0/24 RFC5737 Doc-TEST-NET-2  
203.0.113.0/24 RFC5737 Doc-TEST-NET-3  
127.0.0.0/8 RFC990 Host-Loopback Bien évidemment, aucune IP de loopback n’est censé provenir d’Internet !
0.0.0.0/8 RFC1700 Soft-Broadcast  
240.0.0.0/4 RFC6890 Reserved-Future-Use Ces IP ne sont pas encore routées sur Internet
255.255.255.255/32 RFC6890 Reserved-Limited Broadcast Cette IP ne peut pas être routée sur Internet

Et si vous avez un Fortigate, voici les objets au format CLI

config firewall address
    edit "RFC1700-Soft-Broadcast"
        set subnet 0.0.0.0 255.0.0.0
    next
    edit "RFC1918-PrivNet-LAN-ClassA"
        set subnet 10.0.0.0 255.0.0.0
    next
    edit "RFC6598-PrivNet-Carrier-grade-NAT"
        set subnet 100.64.0.0 255.192.0.0
    next
    edit "RFC990-Host-Loopback"
        set subnet 127.0.0.0 255.0.0.0
    next
    edit "RFC3927-Host-APIPA"
        set subnet 169.254.0.0 255.255.0.0
    next
    edit "RFC1918-PrivNet-LAN-ClassB"
        set subnet 172.16.0.0 255.240.0.0
    next
    edit "RFC5736-PrivNet-Reserved-For-IETF"
        set subnet 192.0.0.0 255.255.255.0
    next
    edit "RFC5737-Doc-TEST-NET"
        set subnet 192.0.2.0 255.255.255.0
    next
    edit "RFC1918-PrivNet-LAN-ClassC"
        set subnet 192.168.0.0 255.255.0.0
    next
    edit "RFC2544-PrivNet-Inter-Network-Comm"
        set subnet 198.18.0.0 255.254.0.0
    next
    edit "RFC5737-Doc-TEST-NET-2"
        set subnet 198.51.100.0 255.255.255.0
    next
    edit "RFC5737-Doc-TEST-NET-3"
        set subnet 203.0.113.0 255.255.255.0
    next
    edit "RFC6890-Reserved-Future-Use"
        set subnet 240.0.0.0 240.0.0.0
    next
    edit "RFC6890-Reserved-Limited Broadcast"
        set subnet 255.255.255.255 255.255.255.255
    next


config firewall addrgrp
    edit "Non-Routed-Internet-Subnets"
        set member "RFC1700-Soft-Broadcast" "RFC1918-PrivNet-LAN-ClassA" "RFC6598-PrivNet-Carrier-grade-NAT" "RFC990-Host-Loopback" "RFC3927-Host-APIPA" "RFC1918-PrivNet-LAN-ClassB" "RFC5736-PrivNet-Reserved-For-IETF" "RFC5737-Doc-TEST-NET" "RFC1918-PrivNet-LAN-ClassC" "RFC2544-PrivNet-Inter-Network-Comm" "RFC5737-Doc-TEST-NET-2" "RFC5737-Doc-TEST-NET-3" "RFC6890-Reserved-Future-Use" "RFC6890-Reserved-Limited Broadcast"
    next
end

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *