czym jest usługa klienta dhcpv6 w firewalld i czy mogę ją bezpiecznie usunąć?

13

Na CentOS 7serwerze piszę firewall-cmd --list-alli daje mi to: 

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

Co to jest usługa klienta dhcpv6? Co to robi? A jakie są konsekwencje jego usunięcia?

Czytałem strony wikipedia dla dhcpv6, ale nie mów mi, co konkretnie ta usługa na CentOS 7 Firewalldnie.

Ten serwer jest dostępny za pośrednictwem httpsi emailprzez mydomain.com, ale jest to prywatny serwer, do którego można uzyskać dostęp tylko poprzez httpslistę znanych ipadresów. Ponadto ten serwer może odbierać wiadomości e-mail z listy znanych adresów e-mail. Czy dhcpv6-clientusługa jest wymagana do uzgodnienia adresów domeny ze znanymi ip httpsżądaniami i do wymiany wiadomości e-mail ze znanymi adresami e-mail?

centos firewall dhcp firewalld CodeMed
źródło
Klient dhcpv6 jest oczywiście klientem DHCPv6, o którym już czytałeś w Wikipedii. Nie widzę wtedy celu pytania.
Pavel Šimerda
1
usługi zapory ogniowej mogą, ale nie muszą być powiązane z rzeczywistym programem działającym w systemie. Istnieje wiele różnych klientów DHCPv6
Matt

Odpowiedzi:

16

Jest to potrzebne, jeśli używasz DHCP v6 ze względu na nieco inny sposób działania DHCP w v4 i v6.

W DHCP v4 klient ustanawia połączenie z serwerem, a ze względu na domyślne reguły zezwalające na „nawiązane” połączenia z powrotem przez zaporę, zwrotna odpowiedź DHCP jest dozwolona.

Jednak w DHCP v6 początkowe żądanie klienta jest wysyłane na statycznie przypisany adres multiemisji, podczas gdy odpowiedź zawiera adres emisji pojedynczej serwera DHCP jako źródło (patrz RFC 3315 ). Ponieważ źródło różni się teraz od miejsca docelowego żądania początkowego, reguła „ustalona” nie pozwoli na to, aw konsekwencji DHCP v6 zawiedzie.

Aby temu przeciwdziałać, utworzono nową firewalld regułę o nazwie, dhcpv6-clientktóra zezwala na przychodzące odpowiedzi DHCP v6 - taka jest dhcpv6-clientreguła. Jeśli nie korzystasz z DHCP v6 w sieci lub używasz statycznego adresowania IP, możesz go wyłączyć.

garethTheRed
źródło
Myślę, że jest to spowodowane raczej brakującą funkcją jądra niż różnicami w protokołach. Klient DHCPv4 także nadaje, ale jądro może go już obsłużyć. Nie wiem, czy najnowsze jądro obsługuje już DHCPv6, czy też nie. Zastanawiam się nad oznaczeniem odpowiedzi DHCP ESTABLISHEDw śledzeniu połączenia.
Pavel Šimerda
1
Jądro 4.2 nadal nie wykonuje poprawnie śledzenia połączeń dla odpowiedzi DHCPv6 emisji pojedynczej na powiązania multiemisji DHCPv6.
Matt
4

Klient dhcpv6 jest procesem klienta dla DHCPv6. Jeśli masz statyczny adres IPv6 lub nie używasz IPv6, możesz go bezpiecznie wyłączyć. Zobacz odpowiedź na błąd serwera

Outurnate
źródło
Jak mogę sprawdzić, czy korzystam z IPv6? Moje dns w punkcie rejestracji domeny używają ipv4 ip dla serwera.
CodeMed
Jeśli twój wpis DNS ma rekord AAAA, używasz IPv6
Outurnate
Nie zawsze można oceniać po wpisie DNS i nie dowiesz się niczego o konfiguracji. Dlaczego nie zachowasz domyślnej konfiguracji. Jeśli w ogóle nie używasz klienta DHCPv6, nie musisz przejmować się blokowaniem go w zaporze.
Pavel Šimerda
Nie jest zablokowany w jego zaporze; jest dozwolone. Dodatkowo, podczas gdy testowanie rekordu AAAA nie gwarantuje, że IPv6 nie jest używane, w kontekście jego pytania (hosting), brak rekordu AAAA wskazuje, że jego host nie używa IPv6
Outurnate
2

Nieco inna perspektywa. Używasz firewalld jako zapory hosta końcowego, który zasadniczo blokuje wszystkie oprócz wybranych usług, aby uniknąć pomyłkowego opublikowania usługi. Używanie zapory ogniowej do blokowania usług, które nigdy nie będą uruchomione, nie ma sensu.

Moim zdaniem logika jest błędna. Jeśli nie ma szans, że kiedykolwiek użyjesz automatycznej konfiguracji adresu IPv6, nie ma powodu, aby przejmować się zaporą. Jeśli istnieje szansa, że ​​będziesz chciał go uruchomić, zapora będzie tylko szkodliwa.

Istnieją usługi, z których można korzystać lokalnie, które można zainstalować i uruchomić w dobrej wierze, że tylko nasłuchują lokalnie lub które można uruchomić przez pomyłkę. W takim przypadku zapora pomaga uniknąć udostępniania usługi spoza serwera. Jest to wartość zapory na serwerze podłączonym do Internetu, nie blokującym odpowiedzi na klientów DHCP.

Należy również pamiętać, że reguła zapory zezwalająca na odpowiedzi na pakiety od klienta DHCP jest tylko obejściem brakującej funkcji jądra. Jądro może wykryć odpowiedzi DHCPv4, takie jak odpowiedzi na każdy inny rodzaj komunikacji. Ale nie może (lub nie mógł w chwili podjęcia decyzji o dołączeniu reguły zapory) zrobić to samo dla DHCPv6.

Pavel Šimerda
źródło