Na CentOS 7
serwerze piszę firewall-cmd --list-all
i daje mi to:
public (default, active)
interfaces: enp3s0
sources:
services: dhcpv6-client https ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
Co to jest usługa klienta dhcpv6? Co to robi? A jakie są konsekwencje jego usunięcia?
Czytałem strony wikipedia dla dhcpv6
, ale nie mów mi, co konkretnie ta usługa na CentOS 7
Firewalld
nie.
Ten serwer jest dostępny za pośrednictwem https
i email
przez mydomain.com
, ale jest to prywatny serwer, do którego można uzyskać dostęp tylko poprzez https
listę znanych ip
adresów. Ponadto ten serwer może odbierać wiadomości e-mail z listy znanych adresów e-mail. Czy dhcpv6-client
usługa jest wymagana do uzgodnienia adresów domeny ze znanymi ip
https
żądaniami i do wymiany wiadomości e-mail ze znanymi adresami e-mail?
Odpowiedzi:
Jest to potrzebne, jeśli używasz DHCP v6 ze względu na nieco inny sposób działania DHCP w v4 i v6.
W DHCP v4 klient ustanawia połączenie z serwerem, a ze względu na domyślne reguły zezwalające na „nawiązane” połączenia z powrotem przez zaporę, zwrotna odpowiedź DHCP jest dozwolona.
Jednak w DHCP v6 początkowe żądanie klienta jest wysyłane na statycznie przypisany adres multiemisji, podczas gdy odpowiedź zawiera adres emisji pojedynczej serwera DHCP jako źródło (patrz RFC 3315 ). Ponieważ źródło różni się teraz od miejsca docelowego żądania początkowego, reguła „ustalona” nie pozwoli na to, aw konsekwencji DHCP v6 zawiedzie.
Aby temu przeciwdziałać, utworzono nową
firewalld
regułę o nazwie,dhcpv6-client
która zezwala na przychodzące odpowiedzi DHCP v6 - taka jestdhcpv6-client
reguła. Jeśli nie korzystasz z DHCP v6 w sieci lub używasz statycznego adresowania IP, możesz go wyłączyć.źródło
ESTABLISHED
w śledzeniu połączenia.Klient dhcpv6 jest procesem klienta dla DHCPv6. Jeśli masz statyczny adres IPv6 lub nie używasz IPv6, możesz go bezpiecznie wyłączyć. Zobacz tę odpowiedź na błąd serwera
źródło
Nieco inna perspektywa. Używasz firewalld jako zapory hosta końcowego, który zasadniczo blokuje wszystkie oprócz wybranych usług, aby uniknąć pomyłkowego opublikowania usługi. Używanie zapory ogniowej do blokowania usług, które nigdy nie będą uruchomione, nie ma sensu.
Moim zdaniem logika jest błędna. Jeśli nie ma szans, że kiedykolwiek użyjesz automatycznej konfiguracji adresu IPv6, nie ma powodu, aby przejmować się zaporą. Jeśli istnieje szansa, że będziesz chciał go uruchomić, zapora będzie tylko szkodliwa.
Istnieją usługi, z których można korzystać lokalnie, które można zainstalować i uruchomić w dobrej wierze, że tylko nasłuchują lokalnie lub które można uruchomić przez pomyłkę. W takim przypadku zapora pomaga uniknąć udostępniania usługi spoza serwera. Jest to wartość zapory na serwerze podłączonym do Internetu, nie blokującym odpowiedzi na klientów DHCP.
Należy również pamiętać, że reguła zapory zezwalająca na odpowiedzi na pakiety od klienta DHCP jest tylko obejściem brakującej funkcji jądra. Jądro może wykryć odpowiedzi DHCPv4, takie jak odpowiedzi na każdy inny rodzaj komunikacji. Ale nie może (lub nie mógł w chwili podjęcia decyzji o dołączeniu reguły zapory) zrobić to samo dla DHCPv6.
źródło