Что такое служба dhcpv6-client в firewalld, и могу ли я безопасно удалить ее?

13

На CentOS 7сервере я набираю firewall-cmd --list-all, и это дает мне следующее: 

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

Что такое служба dhcpv6-client? Что оно делает? И каковы последствия его удаления?

Я прочитал страницу википедии для dhcpv6, но она не говорит мне конкретно, что делает этот сервис CentOS 7 Firewalld.

Этот сервер доступен через httpsи emailчерез mydomain.com, но это частный сервер, доступ httpsк которому возможен только через список известных ipадресов. Кроме того, этот сервер может получать электронную почту из списка известных адресов электронной почты. dhcpv6-clientТребуется ли услуга согласовывать адреса доменов по известным ip httpsзапросам и обмениваться электронной почтой с известными адресами электронной почты?

centos firewall dhcp firewalld CodeMed
источник
dhcpv6-client - это, очевидно, клиент DHCPv6, о котором вы уже читали в Википедии. Тогда я не вижу цели вопроса.
Павел Шимерда
1
Сервисы firewalld могут быть привязаны или не привязаны к реальной программе, работающей в системе. Есть несколько разных клиентов DHCPv6
Мэтт

Ответы:

16

Это необходимо, если вы используете DHCP v6 из-за немного отличного способа работы DHCP в v4 и v6.

В DHCP v4 клиент устанавливает соединение с сервером, и из-за правил по умолчанию, разрешающих «установленные» соединения обратно через брандмауэр, ответ DHCP возвращается через него.

Однако в DHCP v6 первоначальный клиентский запрос отправляется на статически назначенный адрес многоадресной рассылки, в то время как ответ имеет адрес одноадресной рассылки DHCP-сервера в качестве источника (см. RFC 3315 ). Поскольку источник теперь отличается от пункта назначения первоначального запроса, «установленное» правило не пропустит его и, следовательно, DHCP v6 завершится ошибкой.

Для борьбы с этим firewalld было создано новое правило, которое называется « dhcpv6-clientВходящие ответы DHCP v6» - это dhcpv6-clientправило. Если вы не используете DHCP v6 в своей сети или используете статическую IP-адресацию, вы можете отключить ее.

garethTheRed
источник
Я думаю, что это связано с отсутствующей функцией ядра, а не с различиями в протоколах. DHCPv4-клиент также вещает, но ядро ​​уже может его обработать. Я не знаю, работает ли последнее ядро ​​с DHCPv6, или нет. Я занимаюсь маркировкой ответов DHCP ESTABLISHEDв отслеживании соединения.
Павел Шимерда
1
Ядро 4.2 все еще не выполняет надлежащее отслеживание соединений для одноадресных ответов DHCPv6 на многоадресные сообщения DHCPv6.
Мэтт
4

dhcpv6-client - это клиентский процесс для DHCPv6. Если у вас статический IPv6-адрес или вы не используете IPv6, его можно отключить. Посмотрите этот ответ сервера

Outurnate
источник
Как я могу узнать, использую ли я ipv6? Мои днс в точке регистратора домена используют ipv4 ip для сервера.
CodeMed
Если ваша запись DNS имеет запись AAAA, вы используете IPv6
Outurnate
Вы не всегда можете судить по записи DNS, и вы не узнаете ничего о конфигурации. Почему бы вам просто не сохранить настройки по умолчанию. Если вы вообще не используете клиент DHCPv6, вам не нужно блокировать его в брандмауэре.
Павел Шимерда
Это не заблокировано в его брандмауэре; это разрешено Кроме того, хотя тестирование записи AAAA не гарантирует, что IPv6 не используется, в контексте его вопроса (веб-хостинг) отсутствие записи AAAA указывает на то, что его хост не использует IPv6
Outurnate
2

Немного другая точка зрения. Вы используете firewalld в качестве межсетевого экрана конечного хоста, который в основном блокирует все, кроме выбранных сервисов, чтобы избежать публикации сервиса по ошибке. Нет смысла использовать брандмауэр для блокировки служб, которые вы никогда не будете запускать.

На мой взгляд, логика здесь ошибочна. Если нет шансов, что вы когда-нибудь будете использовать автоматическую настройку адресов IPv6, нет причин заботиться о брандмауэре. Если есть вероятность, что вы захотите запустить его, то брандмауэр будет только вреден.

Существуют службы, которые вы можете использовать локально, которые вы можете установить и запустить добросовестно, чтобы они прослушивали только локально или могли начать работу по ошибке. В этом случае брандмауэр помогает избежать доступа к службе извне вашего сервера. Это значение брандмауэра на вашем сервере, подключенного к Интернету, не блокирующего ответы на DHCP-клиентов.

Также обратите внимание, что правило брандмауэра, разрешающее ответы на пакеты от клиента DHCP, - это просто обходной путь для отсутствующей функции ядра. Ядро может обнаруживать ответы DHCPv4, такие как ответы для любого другого типа связи. Но он не может (или не мог в момент принятия решения включить правило брандмауэра) сделать то же самое для DHCPv6.

Павел Шимерда
источник