ComputerBase Hauptmenü
Aktuelles

Subnetting RFC1918

/root

/root

Lt. Commander
Registriert
Okt. 2007
Beiträge
1.295
Hi Leute,

Ich würde gerne den privaten IP Bereich 172.16.0.0 bis 172.30.255.255 auf meiner Firewall sperren.
Laut RFC ist ein private Adressblock von 172.16.0.0 bis 172.16.31.255.255 und den kann man mit 172.16.0.0/12 anschreiben.
Ich möchte aber 172.31.0.0/16 NICHT sperren, da stehen Services drinnen.

Wie berechte ich da die Netmask?
Mit den Subnet Rechnern komme ich irgendwie nie auf diesen Range.
172.16.0.0/13 geht von den Hosts nur bis 172.23.255.255

Kann man das überhaupt in ein Subnet zusammenfassen?

LG
 
Zuletzt bearbeitet:
Glaskugel an...

BSD PF Syntax
Code: 
block all
pass protocol { udp, tcp } from 172.31.0.0/16 to any keep state
... Glaskugel aus

Etwas mehr Informationen wären hilfreich. Ansonsten gibt es immer eine Regel (am Anfang oder am Ende) die zunächst den gesamten Verkehr blockiert. Danach erstellt man seine Regel mit dem erlaubten Verkehr.
 
Nein, genauer geht es nicht. Du gibst mit der Zahl nach dem Strich die Anzahl der Bits der binären Darstellung der IP-Adresse an, die zum Subnet gehören sollen. Das geht natürlich nicht beliebig, schließlich hat man nur 32 Zustände zur Auswahl. Und in so eine IP-Adresse passen dann doch ein paar mehr rein.


Bisschen Binärrechnung für's Verständnis:
172.16.0.0 entspricht 10101100.00010000.00000000.00000000

172.16.0.0/12 entspricht 10101100.0001xxxx.xxxxxxxx.xxxxxxxx
Maximum in dem Subnet ist also 10101100.00011111.11111111.11111111 (172.31.255.255)

172.16.0.0/13 entspricht 10101100.00010xxx.xxxxxxxx.xxxxxxxx
Maximum in dem Subnet ist also 10101100.00010111.11111111.11111111 (172.23.255.255)



Das Aufteilen in Subnets geht also nur in 2er Potenzen. :
...
172.16/11 entspricht 172.16 - 172.48 (48 = 16 + 2^5)
172.16/12 entspricht 172.16 - 172.32 (32 = 16 + 2^4)
172.16/13 entspricht 172.16 - 172.24 (24 = 16 + 2^3)
172.16/14 entspricht 172.16 - 172.20 (20 = 16 + 2^2)
...


Du kannst allerdings 172.16.0.0/12 sperren und dann 172.31.0.0/16 wieder explizit erlauben bei den meisten Firewalls.

edit: saznik war schneller


Gruß
Bene
 
Zuletzt bearbeitet:
ok, ich habs befürchtet
werde den gesamten RFC Range also blacklisten und dann den gewünschten whitelisten - wäre in einer Regel halt eleganter gewesen :D

Danke!

LG
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
IPv6 /64 Prefix und Subnetting
2 3
Antworten
40
Aufrufe
3.118
riversource
R
C
Subnetting lernen
Antworten
3
Aufrufe
1.108
Cornholi0
C
R
subnetting in Host und Netzen aufteilen
Antworten
19
Aufrufe
1.579
Skysnake
S
N
Subnetting Berechnen
Antworten
7
Aufrufe
3.524
h00bi
h00bi
S
IP Subnetting
Antworten
7
Aufrufe
903
Poati
Poati
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz