Em um CentOS 7
servidor, digito firewall-cmd --list-all
e me fornece o seguinte:
public (default, active)
interfaces: enp3s0
sources:
services: dhcpv6-client https ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
O que é o serviço dhcpv6-client? O que isso faz? E quais são as implicações de removê-lo?
Eu li a página da Wikipedia para dhcpv6
, mas ele não me dizer especificamente o que este serviço on CentOS 7
Firewalld
faz.
Este servidor é acessível via https
e email
via mydomain.com
, mas é um servidor privado que só pode ser acessado através https
de uma lista de ip
endereços conhecidos . Além disso, este servidor pode receber email de uma lista de endereços de email conhecidos. O dhcpv6-client
serviço é necessário para reconciliar os endereços de domínio das ip
https
solicitações conhecidas e para trocar o email por endereços conhecidos?
Respostas:
Isso é necessário se você estiver usando o DHCP v6 devido à maneira ligeiramente diferente em que o DHCP funciona nas v4 e v6.
No DHCP v4, o cliente estabelece a conexão com o servidor e, devido às regras padrão para permitir conexões 'estabelecidas' de volta pelo firewall, a resposta DHCP retornada é permitida.
No entanto, no DHCP v6, a solicitação inicial do cliente é enviada para um endereço multicast atribuído estaticamente, enquanto a resposta tem o endereço unicast do servidor DHCP como origem (consulte RFC 3315 ). Como a origem agora é diferente do destino da solicitação inicial, a regra 'estabelecida' não permitirá a passagem e, consequentemente, o DHCP v6 falhará.
Para combater isso, uma nova
firewalld
regra foi criada chamadadhcpv6-client
que permite respostas DHCP v6 de entrada para passar - esta é adhcpv6-client
regra. Se você não estiver executando o DHCP v6 na sua rede ou estiver usando o endereço IP estático, poderá desativá-lo.fonte
ESTABLISHED
no rastreamento de conexão.dhcpv6-client é o processo do cliente para DHCPv6. Se você possui um endereço IPv6 estático ou não o usa, é seguro desativá-lo. Veja esta resposta de falha do servidor
fonte
Perspectiva ligeiramente diferente. Você está usando o firewalld como um firewall de host final que basicamente bloqueia todos os serviços, exceto os selecionados, para evitar a publicação de um serviço por engano. Não faz muito sentido usar um firewall para bloquear serviços que você nunca executará.
Na minha opinião, a lógica aqui é falha. Se não houver chance de você usar a configuração automática de endereço do IPv6, não há motivo para se preocupar com o firewall. Se houver uma chance de você querer executá-lo, o firewall seria prejudicial.
Existem serviços que você pode usar localmente, que você pode instalar e iniciar de boa fé que eles apenas escutam localmente ou que podem ser iniciados por engano. Nesse caso, o firewall ajuda a evitar a disponibilização do serviço de fora do servidor. Esse é o valor de um firewall no servidor conectado à Internet, sem bloquear as respostas aos clientes DHCP.
Observe também que a regra do firewall para permitir respostas a pacotes do cliente DHCP é apenas uma solução alternativa para um recurso ausente do kernel. O kernel pode detectar respostas DHCPv4 como respostas para qualquer outro tipo de comunicação. Mas ele não pode (ou não pôde no momento da decisão de incluir a regra do firewall) fazer o mesmo com o DHCPv6.
fonte