dịch vụ máy khách dhcpv6 trong tường lửa là gì và tôi có thể gỡ bỏ nó một cách an toàn không?

Trong một CentOS 7máy chủ, tôi gõ firewall-cmd --list-allvà nó cung cấp cho tôi như sau:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

Dịch vụ dhcpv6-client là gì? Nó làm gì? Và những tác động của việc loại bỏ nó là gì?

Tôi đọc trang wikipedia cho dhcpv6, nhưng nó không cho tôi biết cụ thể dịch vụ CentOS 7 Firewalldnày làm gì.

Máy chủ này có thể truy cập thông qua httpsvà emailthông qua mydomain.com, nhưng nó là một máy chủ riêng chỉ có thể được truy cập thông qua httpsmột danh sách các ipđịa chỉ đã biết . Ngoài ra, máy chủ này có thể nhận email từ danh sách các địa chỉ email đã biết. Là dhcpv6-clientdịch vụ cần thiết để điều hòa các địa chỉ tên miền từ các ip httpsyêu cầu đã biết và để trao đổi email với các địa chỉ email đã biết?

Điều này là cần thiết nếu bạn đang sử dụng DHCP v6 do cách thức hơi khác nhau mà DHCP hoạt động trong v4 và v6.

Trong DHCP v4, máy khách thiết lập kết nối với máy chủ và do các quy tắc mặc định để cho phép các kết nối 'được thiết lập trở lại qua tường lửa, phản hồi DHCP trở lại được cho phép thông qua.

Tuy nhiên, trong DHCP v6, yêu cầu máy khách ban đầu được gửi đến một địa chỉ multicast được gán tĩnh trong khi phản hồi có địa chỉ unicast của máy chủ DHCP làm nguồn (xem RFC 3315 ). Vì nguồn hiện tại khác với đích của yêu cầu ban đầu, quy tắc 'được thiết lập' sẽ không cho phép thông qua và do đó DHCP v6 sẽ thất bại.

Để chống lại điều này, một firewalld quy tắc mới đã được tạo ra được gọi là dhcpv6-clientcho phép các phản hồi DHCP v6 đến vượt qua - đây là dhcpv6-clientquy tắc. Nếu bạn không chạy DHCP v6 trên mạng hoặc bạn đang sử dụng địa chỉ IP tĩnh, thì bạn có thể tắt nó.

dhcpv6-client là quá trình máy khách cho DHCPv6. Nếu bạn có địa chỉ IPv6 tĩnh hoặc không sử dụng IPv6, việc tắt nó là an toàn. Xem serverfault này câu trả lời

Quan điểm hơi khác nhau. Bạn đang sử dụng tường lửa như một tường lửa máy chủ cuối, về cơ bản chặn tất cả các dịch vụ được chọn để tránh xuất bản dịch vụ do nhầm lẫn. Việc sử dụng tường lửa để chặn các dịch vụ mà bạn sẽ không bao giờ chạy là vô nghĩa.

Theo tôi, logic ở đây là thiếu sót. Nếu không có cơ hội bạn sẽ sử dụng cấu hình địa chỉ tự động của IPv6, không có lý do gì để quan tâm đến tường lửa. Nếu có cơ hội bạn muốn chạy nó, thì tường lửa sẽ chỉ có hại.

Có những dịch vụ mà bạn có thể sử dụng tại địa phương, bạn có thể cài đặt và bắt đầu với thiện chí rằng họ chỉ nghe cục bộ hoặc có thể bắt đầu do nhầm lẫn. Trong trường hợp đó, tường lửa giúp bạn tránh làm cho dịch vụ có thể truy cập được từ bên ngoài máy chủ của bạn. Đó là giá trị của tường lửa trên máy chủ của bạn được kết nối với internet, không chặn phản hồi cho các máy khách DHCP.

Cũng lưu ý rằng quy tắc tường lửa để cho phép trả lời các gói từ máy khách DHCP chỉ là cách giải quyết cho tính năng kernel bị thiếu. Nhân có thể phát hiện trả lời DHCPv4 như trả lời cho bất kỳ loại giao tiếp nào khác. Nhưng nó không thể (hoặc không thể tại thời điểm quyết định bao gồm quy tắc tường lửa) làm tương tự cho DHCPv6.