o que é o serviço dhcpv6-client no firewalld e posso removê-lo com segurança?

12

Em um CentOS 7servidor, digito firewall-cmd --list-alle me fornece o seguinte:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

O que é o serviço dhcpv6-client? O que isso faz? E quais são as implicações de removê-lo?

Eu li a página da Wikipedia para dhcpv6, mas ele não me dizer especificamente o que este serviço on CentOS 7 Firewalldfaz.

Este servidor é acessível via httpse emailvia mydomain.com, mas é um servidor privado que só pode ser acessado através httpsde uma lista de ipendereços conhecidos . Além disso, este servidor pode receber email de uma lista de endereços de email conhecidos. O dhcpv6-clientserviço é necessário para reconciliar os endereços de domínio das ip httpssolicitações conhecidas e para trocar o email por endereços conhecidos?

CodeMed
fonte
O dhcpv6-client é obviamente um cliente DHCPv6 sobre o qual você já leu na Wikipedia. Não vejo o objetivo da pergunta então.
Pavel Šimerda
1
Os serviços firewalld podem ou não estar vinculados a um programa real em execução no sistema. Existem vários clientes DHCPv6 diferentes
Matt

Respostas:

15

Isso é necessário se você estiver usando o DHCP v6 devido à maneira ligeiramente diferente em que o DHCP funciona nas v4 e v6.

No DHCP v4, o cliente estabelece a conexão com o servidor e, devido às regras padrão para permitir conexões 'estabelecidas' de volta pelo firewall, a resposta DHCP retornada é permitida.

No entanto, no DHCP v6, a solicitação inicial do cliente é enviada para um endereço multicast atribuído estaticamente, enquanto a resposta tem o endereço unicast do servidor DHCP como origem (consulte RFC 3315 ). Como a origem agora é diferente do destino da solicitação inicial, a regra 'estabelecida' não permitirá a passagem e, consequentemente, o DHCP v6 falhará.

Para combater isso, uma nova firewalld regra foi criada chamada dhcpv6-clientque permite respostas DHCP v6 de entrada para passar - esta é a dhcpv6-clientregra. Se você não estiver executando o DHCP v6 na sua rede ou estiver usando o endereço IP estático, poderá desativá-lo.

garethTheRed
fonte
Eu acho que é devido a um recurso ausente do kernel, em vez de diferenças nos protocolos. O cliente DHCPv4 também transmite, mas o kernel já pode lidar com isso. Não sei se um kernel recente já lida com DHCPv6 ou não. Estou pensando em marcar as respostas do DHCP ESTABLISHEDno rastreamento de conexão.
Pavel Šimerda
1
O kernel 4.2 ainda não faz o rastreamento de conexão corretamente para as respostas DHCPv6 unicast às associações de DHCPv6 multicast.
Matt
4

dhcpv6-client é o processo do cliente para DHCPv6. Se você possui um endereço IPv6 estático ou não o usa, é seguro desativá-lo. Veja esta resposta de falha do servidor

Outurnate
fonte
Como posso saber se uso o ipv6? Meus dns no ponto de registro de domínio usam o ipv4 ip para o servidor.
CodeMed 31/12/14
Se sua entrada DNS tiver um registro AAAA, você estará usando o IPv6
Outurnate
Você nem sempre pode julgar pela entrada do DNS e não aprenderá nada sobre a configuração. Por que você não mantém a configuração padrão? Se você não está usando um cliente DHCPv6, não precisa se preocupar em bloqueá-lo no firewall.
Pavel Šimerda
Não está bloqueado no firewall dele; é permitido. Além disso, durante o teste de um registro AAAA não vai garantir que o IPv6 não está sendo usado, no contexto da sua pergunta (de hospedagem), a falta de registro AAAA indica seu anfitrião não usa IPv6
Outurnate
2

Perspectiva ligeiramente diferente. Você está usando o firewalld como um firewall de host final que basicamente bloqueia todos os serviços, exceto os selecionados, para evitar a publicação de um serviço por engano. Não faz muito sentido usar um firewall para bloquear serviços que você nunca executará.

Na minha opinião, a lógica aqui é falha. Se não houver chance de você usar a configuração automática de endereço do IPv6, não há motivo para se preocupar com o firewall. Se houver uma chance de você querer executá-lo, o firewall seria prejudicial.

Existem serviços que você pode usar localmente, que você pode instalar e iniciar de boa fé que eles apenas escutam localmente ou que podem ser iniciados por engano. Nesse caso, o firewall ajuda a evitar a disponibilização do serviço de fora do servidor. Esse é o valor de um firewall no servidor conectado à Internet, sem bloquear as respostas aos clientes DHCP.

Observe também que a regra do firewall para permitir respostas a pacotes do cliente DHCP é apenas uma solução alternativa para um recurso ausente do kernel. O kernel pode detectar respostas DHCPv4 como respostas para qualquer outro tipo de comunicação. Mas ele não pode (ou não pôde no momento da decisão de incluir a regra do firewall) fazer o mesmo com o DHCPv6.

Pavel Šimerda
fonte