dịch vụ máy khách dhcpv6 trong tường lửa là gì và tôi có thể gỡ bỏ nó một cách an toàn không?


12

Trong một CentOS 7máy chủ, tôi gõ firewall-cmd --list-allvà nó cung cấp cho tôi như sau:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

Dịch vụ dhcpv6-client là gì? Nó làm gì? Và những tác động của việc loại bỏ nó là gì?

Tôi đọc trang wikipedia cho dhcpv6, nhưng nó không cho tôi biết cụ thể dịch vụ CentOS 7 Firewalldnày làm gì.

Máy chủ này có thể truy cập thông qua httpsemailthông qua mydomain.com, nhưng nó là một máy chủ riêng chỉ có thể được truy cập thông qua httpsmột danh sách các ipđịa chỉ đã biết . Ngoài ra, máy chủ này có thể nhận email từ danh sách các địa chỉ email đã biết. Là dhcpv6-clientdịch vụ cần thiết để điều hòa các địa chỉ tên miền từ các ip httpsyêu cầu đã biết và để trao đổi email với các địa chỉ email đã biết?


dhcpv6-client rõ ràng là máy khách DHCPv6 mà bạn đã đọc trong Wikipedia. Tôi không thấy mục đích của câu hỏi.
Pavel imerda

1
dịch vụ tường lửa có thể hoặc không thể gắn với một chương trình thực tế đang chạy trên hệ thống. Có một số khách hàng DHCPv6 khác nhau
Matt

Câu trả lời:


15

Điều này là cần thiết nếu bạn đang sử dụng DHCP v6 do cách thức hơi khác nhau mà DHCP hoạt động trong v4 và v6.

Trong DHCP v4, máy khách thiết lập kết nối với máy chủ và do các quy tắc mặc định để cho phép các kết nối 'được thiết lập trở lại qua tường lửa, phản hồi DHCP trở lại được cho phép thông qua.

Tuy nhiên, trong DHCP v6, yêu cầu máy khách ban đầu được gửi đến một địa chỉ multicast được gán tĩnh trong khi phản hồi có địa chỉ unicast của máy chủ DHCP làm nguồn (xem RFC 3315 ). Vì nguồn hiện tại khác với đích của yêu cầu ban đầu, quy tắc 'được thiết lập' sẽ không cho phép thông qua và do đó DHCP v6 sẽ thất bại.

Để chống lại điều này, một firewalld quy tắc mới đã được tạo ra được gọi là dhcpv6-clientcho phép các phản hồi DHCP v6 đến vượt qua - đây là dhcpv6-clientquy tắc. Nếu bạn không chạy DHCP v6 trên mạng hoặc bạn đang sử dụng địa chỉ IP tĩnh, thì bạn có thể tắt nó.


Tôi nghĩ rằng đó là do một tính năng kernel bị thiếu chứ không phải là sự khác biệt trong các giao thức. Máy khách DHCPv4 cũng phát sóng nhưng kernel đã có thể xử lý nó. Tôi không biết liệu một kernel gần đây đã xử lý DHCPv6 hay chưa. Tôi đang thực hiện đánh dấu các phản hồi DHCP ESTABLISHEDtrong theo dõi kết nối.
Pavel imerda

1
Kernel 4.2 vẫn không thực hiện theo dõi kết nối đúng cách cho các phản hồi DHCPv6 unicast đối với các kết nối DHCPv6 đa hướng.
Matt

4

dhcpv6-client là quá trình máy khách cho DHCPv6. Nếu bạn có địa chỉ IPv6 tĩnh hoặc không sử dụng IPv6, việc tắt nó là an toàn. Xem serverfault này câu trả lời


Làm thế nào tôi có thể biết nếu tôi sử dụng ipv6? Dns của tôi tại điểm đăng ký tên miền sử dụng ipv4 ip cho máy chủ.
CodeMed 31/12/14

Nếu mục nhập DNS của bạn có bản ghi AAAA, bạn đang sử dụng IPv6
Outurnate 31/12/14

Bạn không thể luôn đánh giá bằng cách nhập DNS và bạn sẽ không học được gì về cấu hình. Tại sao bạn không giữ cấu hình mặc định. Nếu bạn hoàn toàn không sử dụng máy khách DHCPv6, bạn không cần quan tâm đến việc chặn ứng dụng này trong tường lửa.
Pavel imerda

Nó không bị chặn trong tường lửa của anh ta; nó được cho phép. Ngoài ra, trong khi kiểm tra bản ghi AAAA sẽ không đảm bảo rằng IPv6 không được sử dụng, trong bối cảnh câu hỏi của anh ấy (lưu trữ web), việc thiếu bản ghi AAAA cho thấy máy chủ của anh ấy không sử dụng IPv6
Ra mắt vào

2

Quan điểm hơi khác nhau. Bạn đang sử dụng tường lửa như một tường lửa máy chủ cuối, về cơ bản chặn tất cả các dịch vụ được chọn để tránh xuất bản dịch vụ do nhầm lẫn. Việc sử dụng tường lửa để chặn các dịch vụ mà bạn sẽ không bao giờ chạy là vô nghĩa.

Theo tôi, logic ở đây là thiếu sót. Nếu không có cơ hội bạn sẽ sử dụng cấu hình địa chỉ tự động của IPv6, không có lý do gì để quan tâm đến tường lửa. Nếu có cơ hội bạn muốn chạy nó, thì tường lửa sẽ chỉ có hại.

Có những dịch vụ mà bạn có thể sử dụng tại địa phương, bạn có thể cài đặt và bắt đầu với thiện chí rằng họ chỉ nghe cục bộ hoặc có thể bắt đầu do nhầm lẫn. Trong trường hợp đó, tường lửa giúp bạn tránh làm cho dịch vụ có thể truy cập được từ bên ngoài máy chủ của bạn. Đó là giá trị của tường lửa trên máy chủ của bạn được kết nối với internet, không chặn phản hồi cho các máy khách DHCP.

Cũng lưu ý rằng quy tắc tường lửa để cho phép trả lời các gói từ máy khách DHCP chỉ là cách giải quyết cho tính năng kernel bị thiếu. Nhân có thể phát hiện trả lời DHCPv4 như trả lời cho bất kỳ loại giao tiếp nào khác. Nhưng nó không thể (hoặc không thể tại thời điểm quyết định bao gồm quy tắc tường lửa) làm tương tự cho DHCPv6.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.