На CentOS 7
сервере я набираю firewall-cmd --list-all
, и это дает мне следующее:
public (default, active)
interfaces: enp3s0
sources:
services: dhcpv6-client https ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
Что такое служба dhcpv6-client? Что оно делает? И каковы последствия его удаления?
Я прочитал страницу википедии для dhcpv6
, но она не говорит мне конкретно, что делает этот сервис CentOS 7
Firewalld
.
Этот сервер доступен через https
и email
через mydomain.com
, но это частный сервер, доступ https
к которому возможен только через список известных ip
адресов. Кроме того, этот сервер может получать электронную почту из списка известных адресов электронной почты. dhcpv6-client
Требуется ли услуга согласовывать адреса доменов по известным ip
https
запросам и обмениваться электронной почтой с известными адресами электронной почты?
Ответы:
Это необходимо, если вы используете DHCP v6 из-за немного отличного способа работы DHCP в v4 и v6.
В DHCP v4 клиент устанавливает соединение с сервером, и из-за правил по умолчанию, разрешающих «установленные» соединения обратно через брандмауэр, ответ DHCP возвращается через него.
Однако в DHCP v6 первоначальный клиентский запрос отправляется на статически назначенный адрес многоадресной рассылки, в то время как ответ имеет адрес одноадресной рассылки DHCP-сервера в качестве источника (см. RFC 3315 ). Поскольку источник теперь отличается от пункта назначения первоначального запроса, «установленное» правило не пропустит его и, следовательно, DHCP v6 завершится ошибкой.
Для борьбы с этим
firewalld
было создано новое правило, которое называется «dhcpv6-client
Входящие ответы DHCP v6» - этоdhcpv6-client
правило. Если вы не используете DHCP v6 в своей сети или используете статическую IP-адресацию, вы можете отключить ее.источник
ESTABLISHED
в отслеживании соединения.dhcpv6-client - это клиентский процесс для DHCPv6. Если у вас статический IPv6-адрес или вы не используете IPv6, его можно отключить. Посмотрите этот ответ сервера
источник
Немного другая точка зрения. Вы используете firewalld в качестве межсетевого экрана конечного хоста, который в основном блокирует все, кроме выбранных сервисов, чтобы избежать публикации сервиса по ошибке. Нет смысла использовать брандмауэр для блокировки служб, которые вы никогда не будете запускать.
На мой взгляд, логика здесь ошибочна. Если нет шансов, что вы когда-нибудь будете использовать автоматическую настройку адресов IPv6, нет причин заботиться о брандмауэре. Если есть вероятность, что вы захотите запустить его, то брандмауэр будет только вреден.
Существуют службы, которые вы можете использовать локально, которые вы можете установить и запустить добросовестно, чтобы они прослушивали только локально или могли начать работу по ошибке. В этом случае брандмауэр помогает избежать доступа к службе извне вашего сервера. Это значение брандмауэра на вашем сервере, подключенного к Интернету, не блокирующего ответы на DHCP-клиентов.
Также обратите внимание, что правило брандмауэра, разрешающее ответы на пакеты от клиента DHCP, - это просто обходной путь для отсутствующей функции ядра. Ядро может обнаруживать ответы DHCPv4, такие как ответы для любого другого типа связи. Но он не может (или не мог в момент принятия решения включить правило брандмауэра) сделать то же самое для DHCPv6.
источник