En un CentOS 7
servidor, escribo firewall-cmd --list-all
y me da lo siguiente:
public (default, active)
interfaces: enp3s0
sources:
services: dhcpv6-client https ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
¿Qué es el servicio dhcpv6-client? ¿Qué hace? ¿Y cuáles son las implicaciones de eliminarlo?
He leído la página de Wikipedia para dhcpv6
, pero no me dice específicamente lo que este servicio en CentOS 7
Firewalld
sí.
Se puede acceder a este servidor vía https
y email
vía mydomain.com
, pero es un servidor privado al que solo se puede acceder mediante https
una lista de ip
direcciones conocidas . Además, este servidor puede recibir correos electrónicos de una lista de direcciones de correo electrónico conocidas. ¿Se dhcpv6-client
requiere el servicio para conciliar las direcciones de dominio de las ip
https
solicitudes conocidas y para intercambiar el correo electrónico con direcciones de correo electrónico conocidas?
Respuestas:
Esto es necesario si está utilizando DHCP v6 debido a la forma ligeramente diferente en que DHCP funciona en v4 y v6.
En DHCP v4, el cliente establece la conexión con el servidor y, debido a las reglas predeterminadas para permitir conexiones 'establecidas' a través del firewall, se permite la respuesta DHCP de retorno.
Sin embargo, en DHCP v6, la solicitud inicial del cliente se envía a una dirección de multidifusión asignada estáticamente, mientras que la respuesta tiene la dirección de unidifusión del servidor DHCP como fuente (consulte RFC 3315 ). Como el origen ahora es diferente al destino de la solicitud inicial, la regla 'establecida' no lo permitirá y, en consecuencia, DHCP v6 fallará.
Para combatir esto,
firewalld
se creó una nueva regla llamadadhcpv6-client
que permite que pasen las respuestas entrantes de DHCP v6: esta es ladhcpv6-client
regla. Si no está ejecutando DHCP v6 en su red o está utilizando un direccionamiento IP estático, puede deshabilitarlo.fuente
ESTABLISHED
en el seguimiento de la conexión.dhcpv6-client es el proceso del cliente para DHCPv6. Si tiene una dirección IPv6 estática o no usa IPv6, es seguro deshabilitarla. Ver esta respuesta predeterminada del servidor
fuente
Perspectiva ligeramente diferente. Está utilizando firewalld como un firewall de host final que básicamente bloquea todos los servicios excepto los seleccionados para evitar publicar un servicio por error. No tiene mucho sentido usar un firewall para bloquear servicios que nunca ejecutará.
En mi opinión, la lógica aquí es defectuosa. Si no hay posibilidad de que alguna vez use la configuración automática de direcciones de IPv6, no hay razón para preocuparse por el firewall. Si existe la posibilidad de que desee ejecutarlo, entonces el firewall solo sería perjudicial.
Hay servicios que puede usar localmente, que puede instalar y comenzar de buena fe que solo escuchan localmente o que pueden comenzar por error. En ese caso, el firewall lo ayuda a evitar que el servicio sea accesible desde fuera de su servidor. Ese es el valor de un firewall en su servidor conectado a Internet, que no bloquea las respuestas a los clientes DHCP.
También tenga en cuenta que la regla del firewall para permitir respuestas a los paquetes del cliente DHCP es solo una solución para una característica del núcleo que falta. El núcleo puede detectar respuestas DHCPv4 como respuestas para cualquier otro tipo de comunicación. Pero no puede (o no podría en el momento de la decisión de incluir la regla del firewall) hacer lo mismo para DHCPv6.
fuente