¿Qué es el servicio dhcpv6-client en firewalld? ¿Puedo eliminarlo con seguridad?

13

En un CentOS 7servidor, escribo firewall-cmd --list-ally me da lo siguiente:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

¿Qué es el servicio dhcpv6-client? ¿Qué hace? ¿Y cuáles son las implicaciones de eliminarlo?

He leído la página de Wikipedia para dhcpv6, pero no me dice específicamente lo que este servicio en CentOS 7 Firewalldsí.

Se puede acceder a este servidor vía httpsy emailvía mydomain.com, pero es un servidor privado al que solo se puede acceder mediante httpsuna lista de ipdirecciones conocidas . Además, este servidor puede recibir correos electrónicos de una lista de direcciones de correo electrónico conocidas. ¿Se dhcpv6-clientrequiere el servicio para conciliar las direcciones de dominio de las ip httpssolicitudes conocidas y para intercambiar el correo electrónico con direcciones de correo electrónico conocidas?

CodeMed
fuente
dhcpv6-client es obviamente un cliente DHCPv6 que ya leyó en Wikipedia. Entonces no veo el propósito de la pregunta.
Pavel Šimerda
1
los servicios firewalld pueden o no estar vinculados a un programa real que se ejecuta en el sistema. Hay varios clientes DHCPv6 diferentes
Matt

Respuestas:

16

Esto es necesario si está utilizando DHCP v6 debido a la forma ligeramente diferente en que DHCP funciona en v4 y v6.

En DHCP v4, el cliente establece la conexión con el servidor y, debido a las reglas predeterminadas para permitir conexiones 'establecidas' a través del firewall, se permite la respuesta DHCP de retorno.

Sin embargo, en DHCP v6, la solicitud inicial del cliente se envía a una dirección de multidifusión asignada estáticamente, mientras que la respuesta tiene la dirección de unidifusión del servidor DHCP como fuente (consulte RFC 3315 ). Como el origen ahora es diferente al destino de la solicitud inicial, la regla 'establecida' no lo permitirá y, en consecuencia, DHCP v6 fallará.

Para combatir esto, firewalld se creó una nueva regla llamada dhcpv6-clientque permite que pasen las respuestas entrantes de DHCP v6: esta es la dhcpv6-clientregla. Si no está ejecutando DHCP v6 en su red o está utilizando un direccionamiento IP estático, puede deshabilitarlo.

garethTheRed
fuente
Creo que se debe a la falta de una función del núcleo y no a diferencias en los protocolos. El cliente DHCPv4 también transmite, pero el núcleo ya puede manejarlo. No sé si un kernel reciente ya maneja DHCPv6 también o no. Me estoy ocupando de marcar las respuestas de DHCP ESTABLISHEDen el seguimiento de la conexión.
Pavel Šimerda
1
Kernel 4.2 todavía no realiza correctamente el seguimiento de la conexión para las respuestas de DHCPv6 de unidifusión a las asociaciones de DHCPv6 de multidifusión.
Matt
4

dhcpv6-client es el proceso del cliente para DHCPv6. Si tiene una dirección IPv6 estática o no usa IPv6, es seguro deshabilitarla. Ver esta respuesta predeterminada del servidor

Outurnate
fuente
¿Cómo puedo saber si uso ipv6? Mis DNS en el punto de registro de dominio utilizan la ip ipv4 para el servidor.
CodeMed
Si su entrada de DNS tiene un registro AAAA, está utilizando IPv6
Outurnate
No siempre puede juzgar por la entrada DNS y no aprenderá nada sobre la configuración. ¿Por qué no mantienes la configuración predeterminada? Si no está utilizando un cliente DHCPv6, no necesita preocuparse por bloquearlo en el firewall.
Pavel Šimerda
No está bloqueado en su firewall; esta permitido. Además, si bien la prueba de un registro AAAA no garantizará que IPv6 no se esté utilizando, en el contexto de su pregunta (alojamiento web), la falta de registro AAAA indica que su host no usa IPv6
Outurnate
2

Perspectiva ligeramente diferente. Está utilizando firewalld como un firewall de host final que básicamente bloquea todos los servicios excepto los seleccionados para evitar publicar un servicio por error. No tiene mucho sentido usar un firewall para bloquear servicios que nunca ejecutará.

En mi opinión, la lógica aquí es defectuosa. Si no hay posibilidad de que alguna vez use la configuración automática de direcciones de IPv6, no hay razón para preocuparse por el firewall. Si existe la posibilidad de que desee ejecutarlo, entonces el firewall solo sería perjudicial.

Hay servicios que puede usar localmente, que puede instalar y comenzar de buena fe que solo escuchan localmente o que pueden comenzar por error. En ese caso, el firewall lo ayuda a evitar que el servicio sea accesible desde fuera de su servidor. Ese es el valor de un firewall en su servidor conectado a Internet, que no bloquea las respuestas a los clientes DHCP.

También tenga en cuenta que la regla del firewall para permitir respuestas a los paquetes del cliente DHCP es solo una solución para una característica del núcleo que falta. El núcleo puede detectar respuestas DHCPv4 como respuestas para cualquier otro tipo de comunicación. Pero no puede (o no podría en el momento de la decisión de incluir la regla del firewall) hacer lo mismo para DHCPv6.

Pavel Šimerda
fuente