що таке служба клієнтів dhcpv6 у firewalld, і чи можу я безпечно її видалити?

13

На CentOS 7сервері я набираю текст firewall-cmd --list-all, і він дає мені таке: 

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

Що таке служба dhcpv6-client? Що це робить? І які наслідки його усунення?

Я прочитав сторінку Вікіпедії для dhcpv6, але це не говорить мені , що конкретно ця послуга на CentOS 7 Firewalldробить.

Цей сервер доступний через httpsі emailчерез mydomain.com, але це приватний сервер, доступ до якого можна отримати лише за httpsдопомогою списку відомих ipадрес. Крім того, цей сервер може отримувати електронну пошту зі списку відомих адрес електронної пошти. Чи dhcpv6-clientпотрібна послуга для узгодження адрес домену з відомими ip httpsзапитами та обміну електронною поштою з відомими адресами електронної пошти?

centos  firewall  dhcp  firewalld 
CodeMed
джерело
dhcpv6-client - це, очевидно, клієнт DHCPv6, про який ви вже читали у Вікіпедії. Тоді я не бачу мети питання.
Павло Шімерда
1
Послуги firewalld можуть бути пов'язані з фактичною програмою, що працює в системі. Є кілька різних клієнтів DHCPv6
Метт

Відповіді:

16

Це потрібно, якщо ви використовуєте DHCP v6 через дещо інший спосіб роботи DHCP в v4 та v6.

У DHCP v4 клієнт встановлює з'єднання з сервером, і через правила за замовчуванням, щоб дозволити "встановлені" з'єднання назад через брандмауер, відповідь DHCP, що повертається, дозволено через.

Однак у DHCP v6 початковий запит клієнта надсилається на статично присвоєну багатоадресову адресу, тоді як відповідь має єдину адресу сервера DHCP в якості джерела (див. RFC 3315 ). Оскільки джерело тепер відрізняється від початкового призначення запиту, встановлене правило не дозволить його пропустити, і, отже, DHCP v6 вийде з ладу.

Для боротьби з цим firewalld було створено нове правило, яке називається, dhcpv6-clientщо дозволяє передавати вхідні відповіді DHCP v6 - це dhcpv6-clientправило. Якщо у вашій мережі не працює DHCP v6 або ви використовуєте статичну IP-адресу, ви можете відключити її.

garethTheRed
джерело
Я думаю, що це пов’язано з відсутністю функції ядра, а не відмінностями в протоколах. DHCPv4-клієнт також транслює, але ядро ​​вже може це обробляти. Я не знаю, чи нещодавно ядро ​​вже обробляє DHCPv6, чи ні. Я беруся за маркування відповідей DHCP ESTABLISHEDу відстеженні з'єднання.
Павло Шімерда
1
Ядро 4.2 все ще належним чином не здійснює відстеження з'єднання для одноадресних відповідей DHCPv6 на розмову багатоадресної DHCPv6.
Метт
4

dhcpv6-client - це клієнтський процес для DHCPv6. Якщо у вас статична IPv6-адреса або ви не використовуєте IPv6, її безпечно відключити. Дивіться цю відповідь за замовчуванням на сервері

Пережив
джерело
Як я можу дізнатися, чи використовую ipv6? Мій dns в точці реєстратора домену використовує ipv4 ip для сервера.
CodeMed
Якщо у вашому записі DNS є запис AAAA, ви використовуєте IPv6
перебіг
Ви не завжди можете судити за записом DNS і нічого не дізнаєтесь про конфігурацію. Чому ви просто не збережете конфігурацію за замовчуванням. Якщо ви зовсім не використовуєте клієнт DHCPv6, вам не потрібно дбати про блокування його в брандмауері.
Павло Шімерда
Він не заблокований у його брандмауері; це дозволено. Крім того, хоча тестування на запис AAAA не забезпечить використання IPv6, в контексті його запитання (веб-хостинг) відсутність запису AAAA вказує на те, що його хост не використовує IPv6
пережив
2

Трохи інша перспектива. Ви використовуєте firewalld як брандмауер кінцевого хоста, який в основному блокує всі, крім вибраних служб, щоб уникнути публікації послуги помилково. Не має сенсу використовувати брандмауер для блокування служб, які ви ніколи не будете працювати.

На мою думку, логіка тут є хибною. Якщо немає жодного шансу, що ви коли-небудь використовуватимете автоматичну конфігурацію адреси IPv6, немає жодної причини турбуватися про брандмауер. Якщо є ймовірність, що ви захочете запустити його, то брандмауер буде тільки шкідливим.

Є сервіси, які ви можете використовувати локально, які ви можете встановити та запустити добросовісно, ​​що вони слухають лише локально або які можуть почати помилково. У цьому випадку брандмауер допомагає вам уникнути надання послуги, доступної за межами вашого сервера. Це значення брандмауера на вашому сервері, підключеному до Інтернету, не блокуючи відповіді клієнтам DHCP.

Також зауважте, що правило брандмауера, що дозволяє відповідати на пакети від клієнта DHCP, є лише вирішенням відсутньої функції ядра. Ядро може виявляти відповіді DHCPv4, як відповіді на будь-який інший тип зв'язку. Але воно не може (або не могло під час прийняття рішення про включення правила брандмауера) зробити те саме для DHCPv6.

Павло Шимерда
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.