qu'est-ce que le service client dhcpv6 dans firewalld et puis-je le supprimer en toute sécurité?

13

Dans un CentOS 7serveur, je tape firewall-cmd --list-allet cela me donne ce qui suit:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

Qu'est-ce que le service client dhcpv6? Qu'est ce que ça fait? Et quelles sont les implications de sa suppression?

J'ai lu la page wikipedia pour dhcpv6, mais cela ne me dit pas précisément ce que fait ce service CentOS 7 Firewalld.

Ce serveur est accessible via httpset emailvia mydomain.com, mais il s'agit d'un serveur privé accessible uniquement via httpsune liste d' ipadresses connues . De plus, ce serveur peut recevoir des e-mails à partir d'une liste d'adresses e-mail connues. Le dhcpv6-clientservice est-il nécessaire pour rapprocher les adresses de domaine des ip httpsdemandes connues et pour échanger l'e-mail avec des adresses e-mail connues?

CodeMed
la source
dhcpv6-client est évidemment un client DHCPv6 que vous avez déjà lu sur Wikipedia. Je ne vois donc pas le but de la question.
Pavel Šimerda
1
Les services firewalld peuvent être liés ou non à un programme réel exécuté sur le système. Il existe différents clients DHCPv6
Matt

Réponses:

16

Cela est nécessaire si vous utilisez DHCP v6 en raison de la façon légèrement différente dont DHCP fonctionne dans v4 et v6.

Dans DHCP v4, le client établit la connexion avec le serveur et en raison des règles par défaut permettant aux connexions «établies» de revenir via le pare-feu, la réponse DHCP renvoyée est autorisée.

Cependant, dans DHCP v6, la demande initiale du client est envoyée à une adresse de multidiffusion attribuée statiquement tandis que la réponse a l'adresse de monodiffusion du serveur DHCP comme source (voir RFC 3315 ). Comme la source est désormais différente de la destination de la demande initiale, la règle «établie» ne lui permettra pas de passer et, par conséquent, DHCP v6 échouera.

Pour lutter contre cela, une nouvelle firewalld règle a été créée appelée dhcpv6-clientqui permet aux réponses entrantes DHCP v6 de passer - c'est la dhcpv6-clientrègle. Si vous n'exécutez pas DHCP v6 sur votre réseau ou que vous utilisez un adressage IP statique, vous pouvez le désactiver.

garethTheRed
la source
Je pense que cela est dû à une fonctionnalité de noyau manquante plutôt qu'à des différences de protocoles. Le client DHCPv4 diffuse également mais le noyau peut déjà le gérer. Je ne sais pas si un noyau récent gère déjà DHCPv6 ou non. J'essaie de marquer les réponses DHCP ESTABLISHEDdans le suivi de la connexion.
Pavel Šimerda
1
Le noyau 4.2 ne fait toujours pas correctement le suivi des connexions pour les réponses DHCPv6 unicast aux soclicitations DHCPv6 multicast.
Matt
4

dhcpv6-client est le processus client pour DHCPv6. Si vous avez une adresse IPv6 statique ou n'utilisez pas IPv6, vous pouvez la désactiver en toute sécurité. Voir cette réponse de panne de serveur

Outurnate
la source
Comment savoir si j'utilise ipv6? Mon DNS au point d'enregistrement de domaine utilise l'ip ip4 pour le serveur.
CodeMed
Si votre entrée DNS a un enregistrement AAAA, vous utilisez IPv6
Outurnate
Vous ne pouvez pas toujours juger par entrée DNS et vous n'apprendrez rien de la configuration. Pourquoi ne gardez-vous pas simplement la configuration par défaut. Si vous n'utilisez pas du tout un client DHCPv6, vous n'avez pas besoin de vous soucier de le bloquer dans le pare-feu.
Pavel Šimerda
Ce n'est pas bloqué dans son pare-feu; C'est permis. De plus, bien que le test d'un enregistrement AAAA ne garantisse pas que IPv6 n'est pas utilisé, dans le contexte de sa question (hébergement Web), un manque d'enregistrement AAAA indique que son hôte n'utilise pas IPv6
Outurnate
2

Perspective légèrement différente. Vous utilisez firewalld comme un pare-feu d'hôte final qui bloque essentiellement tous les services sauf ceux sélectionnés pour éviter de publier un service par erreur. Cela n'a pas beaucoup de sens d'utiliser un pare-feu pour bloquer les services que vous n'exécuterez jamais.

À mon avis, la logique ici est défectueuse. S'il n'y a aucune chance que vous utilisiez la configuration d'adresse automatique d'IPv6, il n'y a aucune raison de vous soucier du pare-feu. S'il y a une chance que vous souhaitiez l'exécuter, le pare-feu ne serait que nuisible.

Il existe des services que vous pouvez utiliser localement, que vous pouvez installer et démarrer de bonne foi qu'ils n'écoutent que localement ou qui peuvent démarrer par erreur. Dans ce cas, le pare-feu vous aide à éviter de rendre le service accessible de l'extérieur de votre serveur. C'est la valeur d'un pare-feu sur votre serveur connecté à Internet, qui ne bloque pas les réponses aux clients DHCP.

Notez également que la règle de pare-feu pour autoriser les réponses aux paquets du client DHCP n'est qu'une solution de contournement pour une fonctionnalité de noyau manquante. Le noyau peut détecter les réponses DHCPv4 comme les réponses pour tout autre type de communication. Mais il ne peut pas (ou ne pouvait pas au moment de la décision d'inclure la règle de pare-feu) faire la même chose pour DHCPv6.

Pavel Šimerda
la source