firewalld içinde dhcpv6-client hizmeti nedir ve güvenle kaldırabilir miyim?


13

Bir CentOS 7sunucuya yazıyorum firewall-cmd --list-allve bana şunları veriyor:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

Dhcpv6-client hizmeti nedir? Bu ne işe yarıyor? Ve onu kaldırmanın etkileri nelerdir?

Okuduğum wikipedia sayfasını için dhcpv6, ama özellikle bu hizmet söyle gelmez CentOS 7 Firewalldyapar.

Bu sunucuya httpsve emailaracılığıyla erişilebilir mydomain.com, ancak yalnızca httpsbilinen ipadreslerin bir listesi aracılığıyla erişilebilen özel bir sunucudur . Ayrıca, bu sunucu bilinen e-posta adresleri listesinden e-posta alabilir. Is dhcpv6-clienthizmet bilinenden alan adreslerini uzlaştırmak için gerekli ip httpsistek ve bilinen e-posta adresleri ile e-posta alışverişi için?


dhcpv6-client, Wikipedia'da zaten okuduğunuz bir DHCPv6 istemcisidir. O zaman sorunun amacını göremiyorum.
Pavel Šimerda

1
firewalld hizmetleri sistemde çalışan gerçek bir programa bağlı olabilir veya olmayabilir. Birkaç farklı DHCPv6 istemcisi vardır
Matt

Yanıtlar:


16

DHCP'nin v4 ve v6'da çalışmasının biraz farklı yolu nedeniyle DHCP v6 kullanıyorsanız bu gereklidir.

DHCP v4'te istemci, sunucu ile bağlantı kurar ve güvenlik duvarı üzerinden 'yerleşik' bağlantılara izin vermek için varsayılan kurallar nedeniyle, geri dönen DHCP yanıtına izin verilir.

Ancak, DHCP v6'da, yanıt DHCP sunucusunun tek noktaya yayın kaynağı olarak kaynaklanırken, ilk istemci isteği statik olarak atanmış bir çok noktaya yayın adresine gönderilir (bkz. RFC 3315 ). Kaynak şimdi ilk isteğin hedefinden farklı olduğundan, 'yerleşik' kural buna izin vermeyecek ve sonuç olarak DHCP v6 başarısız olacaktır.

Bununla mücadele etmek ve yeni bir firewalld kural oluşturulan edildi denilen dhcpv6-clientbu - Gelen DHCP v6 yanıtları geçmesine izin veren dhcpv6-clientkuralı. Ağınızda DHCP v6 çalıştırmıyorsanız veya statik IP adresleme kullanıyorsanız, devre dışı bırakabilirsiniz.


Protokollerdeki farklılıklar yerine eksik çekirdek özelliğinden kaynaklandığını düşünüyorum. DHCPv4 istemcisi de yayın yapar, ancak çekirdek zaten işleyebilir. Yeni bir çekirdeğin zaten DHCPv6'yı da işleyip işlemediğini bilmiyorum. ESTABLISHEDBağlantı izlemedeki DHCP yanıtlarını işaretlemeyi düşünüyorum .
Pavel Šimerda

1
Çekirdek 4.2 hala çok noktaya yayın DHCPv6 toplumlarına tek noktaya yayın DHCPv6 yanıtları için bağlantı izlemeyi düzgün şekilde yapmıyor.
Matt

4

dhcpv6-client, DHCPv6 için istemci işlemidir. Statik bir IPv6 adresiniz varsa veya IPv6 kullanmıyorsanız, devre dışı bırakmak güvenlidir. Bkz bu ServerFault cevabı


İpv6 kullanıp kullanmadığımı nasıl anlayabilirim? Etki alanı kayıt kuruluşumdaki dns sunucum için ipv4 ipini kullanıyor.
CodeMed

DNS girişinizde AAAA kaydı varsa, IPv6
Outurnate

Her zaman DNS girişiyle yargılayamazsınız ve yapılandırma hakkında hiçbir şey öğrenemezsiniz. Neden sadece varsayılan yapılandırmayı korumuyorsunuz? Bir DHCPv6 istemcisi kullanmıyorsanız, güvenlik duvarında engellemeyi önemsemeniz gerekmez.
Pavel Šimerda

Güvenlik duvarında engellenmemiştir; serbesttir. , AAAA kaydının eksikliği gösterir IPv6 (web barındırma) onun sorunu bağlamında, kullanılmayan sağlamak olmayacak bir AAAA kayıt için test ederken Ayrıca, onun ev sahibi IPv6 kullanmaz
Outurnate

2

Biraz farklı bir bakış açısı. Firewalld'i, bir hizmeti yanlışlıkla yayınlamaktan kaçınmak için temel olarak seçilen hizmetler dışındaki tüm engelleme yapan bir son ana bilgisayar güvenlik duvarı olarak kullanıyorsunuz. Asla çalıştırmayacağınız hizmetleri engellemek için bir güvenlik duvarı kullanmak pek mantıklı değil.

Bence buradaki mantık kusurlu. IPv6'nın otomatik adres yapılandırmasını kullanma şansınız yoksa, güvenlik duvarını önemsemeniz için bir neden yoktur. Çalıştırmak isteyeceğiniz bir şans varsa, güvenlik duvarı yalnızca zararlı olacaktır.

Yerel olarak kullanabileceğiniz, yalnızca yerel olarak dinleyebilecekleri veya yanlışlıkla başlayabilecekleri iyi niyetle kurabileceğiniz ve başlayabileceğiniz hizmetler vardır. Bu durumda güvenlik duvarı, hizmeti sunucunuzun dışından erişilebilir hale getirmekten kaçınmanıza yardımcı olur. DHCP istemcilerine verilen yanıtları engellemeyen, sunucunuza internete bağlı bir güvenlik duvarının değeri.

Ayrıca, DHCP istemcisinden gelen paketlere yanıt verilmesine izin veren güvenlik duvarı kuralının, eksik çekirdek özelliği için sadece bir geçici çözüm olduğunu unutmayın. Çekirdek, diğer iletişim türlerinin yanıtları gibi DHCPv4 yanıtlarını algılayabilir. Ancak, DHCPv6 için aynısını yapamaz (veya karar sırasında güvenlik duvarı kuralını dahil edemez).

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.