Was ist der dhcpv6-Client-Dienst in Firewalld und kann ich ihn sicher entfernen?

12

Auf einem CentOS 7Server firewall-cmd --list-allgebe ich Folgendes ein:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

Was ist der dhcpv6-Client-Dienst? Was tut es? Und was bedeutet das Entfernen?

Ich habe die Wikipedia-Seite für gelesen dhcpv6, aber sie sagt mir nicht genau, was dieser Dienst CentOS 7 Firewalldanrichtet.

Auf diesen Server kann über httpsund emailüber mydomain.comzugegriffen werden , es handelt sich jedoch um einen privaten Server, auf den nur über httpseine Liste bekannter ipAdressen zugegriffen werden kann . Darüber hinaus kann dieser Server E-Mails von einer Liste bekannter E-Mail-Adressen empfangen. Ist der dhcpv6-clientDienst erforderlich, um die Domänenadressen mit den bekannten ip httpsAnforderungen abzugleichen und die E-Mail mit bekannten E-Mail-Adressen auszutauschen?

CodeMed
quelle
dhcpv6-client ist offensichtlich ein DHCPv6-client, über den Sie bereits in Wikipedia gelesen haben. Den Sinn der Frage sehe ich dann nicht.
Pavel Šimerda
1
Firewall-Dienste sind möglicherweise an ein aktuelles Programm gebunden, das auf dem System ausgeführt wird. Es gibt verschiedene DHCPv6-Clients
Matt

Antworten:

15

Dies ist erforderlich, wenn Sie DHCP v6 verwenden, da sich die Funktionsweise von DHCP in v4 und v6 geringfügig unterscheidet.

In DHCP v4 stellt der Client die Verbindung zum Server her, und aufgrund der Standardregeln, nach denen "hergestellte" Verbindungen wieder durch die Firewall zugelassen werden, wird die zurückgesendete DHCP-Antwort durchgelassen.

In DHCP v6 wird die anfängliche Clientanforderung jedoch an eine statisch zugewiesene Multicast-Adresse gesendet, während die Antwort die Unicast-Adresse des DHCP-Servers als Quelle hat (siehe RFC 3315 ). Da sich die Quelle jetzt vom Ziel der ursprünglichen Anforderung unterscheidet, lässt die Regel "Established" dies nicht zu, sodass DHCP v6 fehlschlägt.

Um dem entgegenzuwirken, wurde eine neue firewalld Regel mit dem Namen " dhcpv6-clientEingehende DHCP v6-Antworten" erstellt . Dies ist die dhcpv6-clientRegel. Wenn Sie in Ihrem Netzwerk kein DHCP v6 ausführen oder statische IP-Adressen verwenden, können Sie diese deaktivieren.

garethTheRed
quelle
Ich denke, es liegt eher an einer fehlenden Kernel-Funktion als an Unterschieden in den Protokollen. Der DHCPv4-Client sendet ebenfalls Broadcasts, der Kernel kann dies jedoch bereits. Ich weiß nicht, ob ein aktueller Kernel auch bereits DHCPv6 unterstützt oder nicht. Ich mache mich daran, die DHCP-Antworten ESTABLISHEDin der Verbindungsverfolgung zu markieren .
Pavel Šimerda
1
Kernel 4.2 führt die Verbindungsverfolgung für die Unicast-DHCPv6-Antworten auf die Multicast-DHCPv6-Zuordnungen immer noch nicht ordnungsgemäß durch.
Matt
4

dhcpv6-client ist der Client-Prozess für DHCPv6. Wenn Sie eine statische IPv6-Adresse haben oder IPv6 nicht verwenden, können Sie diese sicher deaktivieren. Siehe diese serverfault Antwort

Outurnate
quelle
Wie kann ich feststellen, ob ich ipv6 verwende? Meine DNS am Domain-Registrar-Punkt verwenden die IPv4-IP für den Server.
CodeMed
Wenn Ihr DNS-Eintrag einen AAAA-Eintrag enthält, verwenden Sie IPv6
Outurnate 31.12.14
Sie können nicht immer anhand des DNS-Eintrags urteilen und Sie erfahren nichts über die Konfiguration. Warum behalten Sie nicht einfach die Standardkonfiguration bei? Wenn Sie überhaupt keinen DHCPv6-Client verwenden, müssen Sie sich nicht darum kümmern, ihn in der Firewall zu blockieren.
Pavel Šimerda
Es ist nicht in seiner Firewall blockiert; Es ist erlaubt. Während das Testen eines AAAA-Eintrags nicht sicherstellt, dass IPv6 nicht verwendet wird, weist ein Mangel an AAAA-
Eintrag
2

Etwas andere Perspektive. Sie verwenden firewalld als Endhost-Firewall, die grundsätzlich alle bis auf ausgewählte Dienste blockiert, um zu vermeiden, dass versehentlich ein Dienst veröffentlicht wird. Es ist wenig sinnvoll, eine Firewall zu verwenden, um Dienste zu blockieren, die Sie niemals ausführen werden.

Meiner Meinung nach ist die Logik hier fehlerhaft. Wenn es keine Chance gibt, dass Sie jemals die automatische Adresskonfiguration von IPv6 verwenden, gibt es keinen Grund, sich um die Firewall zu kümmern. Wenn die Möglichkeit besteht, dass Sie es ausführen möchten, ist die Firewall nur schädlich.

Es gibt Dienste, die Sie lokal verwenden können, die Sie nach Treu und Glauben installieren und starten können, die nur lokal abhören oder die versehentlich gestartet werden können. In diesem Fall hilft Ihnen die Firewall, den Dienst nicht von außerhalb Ihres Servers zugänglich zu machen. Dies ist der Wert einer Firewall auf Ihrem Server, die mit dem Internet verbunden ist und keine Antworten auf DHCP-Clients blockiert.

Beachten Sie auch, dass die Firewall-Regel zum Zulassen von Antworten auf Pakete vom DHCP-Client nur eine Problemumgehung für eine fehlende Kernelfunktion darstellt. Der Kernel kann DHCPv4-Antworten wie Antworten für jede andere Art von Kommunikation erkennen. Dies ist jedoch für DHCPv6 nicht möglich (oder zum Zeitpunkt der Entscheidung, die Firewall-Regel einzuschließen, nicht möglich).

Pavel Šimerda
quelle