Dans un CentOS 7
serveur, je tape firewall-cmd --list-all
et cela me donne ce qui suit:
public (default, active)
interfaces: enp3s0
sources:
services: dhcpv6-client https ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
Qu'est-ce que le service client dhcpv6? Qu'est ce que ça fait? Et quelles sont les implications de sa suppression?
J'ai lu la page wikipedia pour dhcpv6
, mais cela ne me dit pas précisément ce que fait ce service CentOS 7
Firewalld
.
Ce serveur est accessible via https
et email
via mydomain.com
, mais il s'agit d'un serveur privé accessible uniquement via https
une liste d' ip
adresses connues . De plus, ce serveur peut recevoir des e-mails à partir d'une liste d'adresses e-mail connues. Le dhcpv6-client
service est-il nécessaire pour rapprocher les adresses de domaine des ip
https
demandes connues et pour échanger l'e-mail avec des adresses e-mail connues?
Réponses:
Cela est nécessaire si vous utilisez DHCP v6 en raison de la façon légèrement différente dont DHCP fonctionne dans v4 et v6.
Dans DHCP v4, le client établit la connexion avec le serveur et en raison des règles par défaut permettant aux connexions «établies» de revenir via le pare-feu, la réponse DHCP renvoyée est autorisée.
Cependant, dans DHCP v6, la demande initiale du client est envoyée à une adresse de multidiffusion attribuée statiquement tandis que la réponse a l'adresse de monodiffusion du serveur DHCP comme source (voir RFC 3315 ). Comme la source est désormais différente de la destination de la demande initiale, la règle «établie» ne lui permettra pas de passer et, par conséquent, DHCP v6 échouera.
Pour lutter contre cela, une nouvelle
firewalld
règle a été créée appeléedhcpv6-client
qui permet aux réponses entrantes DHCP v6 de passer - c'est ladhcpv6-client
règle. Si vous n'exécutez pas DHCP v6 sur votre réseau ou que vous utilisez un adressage IP statique, vous pouvez le désactiver.la source
ESTABLISHED
dans le suivi de la connexion.dhcpv6-client est le processus client pour DHCPv6. Si vous avez une adresse IPv6 statique ou n'utilisez pas IPv6, vous pouvez la désactiver en toute sécurité. Voir cette réponse de panne de serveur
la source
Perspective légèrement différente. Vous utilisez firewalld comme un pare-feu d'hôte final qui bloque essentiellement tous les services sauf ceux sélectionnés pour éviter de publier un service par erreur. Cela n'a pas beaucoup de sens d'utiliser un pare-feu pour bloquer les services que vous n'exécuterez jamais.
À mon avis, la logique ici est défectueuse. S'il n'y a aucune chance que vous utilisiez la configuration d'adresse automatique d'IPv6, il n'y a aucune raison de vous soucier du pare-feu. S'il y a une chance que vous souhaitiez l'exécuter, le pare-feu ne serait que nuisible.
Il existe des services que vous pouvez utiliser localement, que vous pouvez installer et démarrer de bonne foi qu'ils n'écoutent que localement ou qui peuvent démarrer par erreur. Dans ce cas, le pare-feu vous aide à éviter de rendre le service accessible de l'extérieur de votre serveur. C'est la valeur d'un pare-feu sur votre serveur connecté à Internet, qui ne bloque pas les réponses aux clients DHCP.
Notez également que la règle de pare-feu pour autoriser les réponses aux paquets du client DHCP n'est qu'une solution de contournement pour une fonctionnalité de noyau manquante. Le noyau peut détecter les réponses DHCPv4 comme les réponses pour tout autre type de communication. Mais il ne peut pas (ou ne pouvait pas au moment de la décision d'inclure la règle de pare-feu) faire la même chose pour DHCPv6.
la source