Auf einem CentOS 7
Server firewall-cmd --list-all
gebe ich Folgendes ein:
public (default, active)
interfaces: enp3s0
sources:
services: dhcpv6-client https ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
Was ist der dhcpv6-Client-Dienst? Was tut es? Und was bedeutet das Entfernen?
Ich habe die Wikipedia-Seite für gelesen dhcpv6
, aber sie sagt mir nicht genau, was dieser Dienst CentOS 7
Firewalld
anrichtet.
Auf diesen Server kann über https
und email
über mydomain.com
zugegriffen werden , es handelt sich jedoch um einen privaten Server, auf den nur über https
eine Liste bekannter ip
Adressen zugegriffen werden kann . Darüber hinaus kann dieser Server E-Mails von einer Liste bekannter E-Mail-Adressen empfangen. Ist der dhcpv6-client
Dienst erforderlich, um die Domänenadressen mit den bekannten ip
https
Anforderungen abzugleichen und die E-Mail mit bekannten E-Mail-Adressen auszutauschen?
Antworten:
Dies ist erforderlich, wenn Sie DHCP v6 verwenden, da sich die Funktionsweise von DHCP in v4 und v6 geringfügig unterscheidet.
In DHCP v4 stellt der Client die Verbindung zum Server her, und aufgrund der Standardregeln, nach denen "hergestellte" Verbindungen wieder durch die Firewall zugelassen werden, wird die zurückgesendete DHCP-Antwort durchgelassen.
In DHCP v6 wird die anfängliche Clientanforderung jedoch an eine statisch zugewiesene Multicast-Adresse gesendet, während die Antwort die Unicast-Adresse des DHCP-Servers als Quelle hat (siehe RFC 3315 ). Da sich die Quelle jetzt vom Ziel der ursprünglichen Anforderung unterscheidet, lässt die Regel "Established" dies nicht zu, sodass DHCP v6 fehlschlägt.
Um dem entgegenzuwirken, wurde eine neue
firewalld
Regel mit dem Namen "dhcpv6-client
Eingehende DHCP v6-Antworten" erstellt . Dies ist diedhcpv6-client
Regel. Wenn Sie in Ihrem Netzwerk kein DHCP v6 ausführen oder statische IP-Adressen verwenden, können Sie diese deaktivieren.quelle
ESTABLISHED
in der Verbindungsverfolgung zu markieren .dhcpv6-client ist der Client-Prozess für DHCPv6. Wenn Sie eine statische IPv6-Adresse haben oder IPv6 nicht verwenden, können Sie diese sicher deaktivieren. Siehe diese serverfault Antwort
quelle
Etwas andere Perspektive. Sie verwenden firewalld als Endhost-Firewall, die grundsätzlich alle bis auf ausgewählte Dienste blockiert, um zu vermeiden, dass versehentlich ein Dienst veröffentlicht wird. Es ist wenig sinnvoll, eine Firewall zu verwenden, um Dienste zu blockieren, die Sie niemals ausführen werden.
Meiner Meinung nach ist die Logik hier fehlerhaft. Wenn es keine Chance gibt, dass Sie jemals die automatische Adresskonfiguration von IPv6 verwenden, gibt es keinen Grund, sich um die Firewall zu kümmern. Wenn die Möglichkeit besteht, dass Sie es ausführen möchten, ist die Firewall nur schädlich.
Es gibt Dienste, die Sie lokal verwenden können, die Sie nach Treu und Glauben installieren und starten können, die nur lokal abhören oder die versehentlich gestartet werden können. In diesem Fall hilft Ihnen die Firewall, den Dienst nicht von außerhalb Ihres Servers zugänglich zu machen. Dies ist der Wert einer Firewall auf Ihrem Server, die mit dem Internet verbunden ist und keine Antworten auf DHCP-Clients blockiert.
Beachten Sie auch, dass die Firewall-Regel zum Zulassen von Antworten auf Pakete vom DHCP-Client nur eine Problemumgehung für eine fehlende Kernelfunktion darstellt. Der Kernel kann DHCPv4-Antworten wie Antworten für jede andere Art von Kommunikation erkennen. Dies ist jedoch für DHCPv6 nicht möglich (oder zum Zeitpunkt der Entscheidung, die Firewall-Regel einzuschließen, nicht möglich).
quelle