o que é o serviço dhcpv6-client no firewalld, e posso removê-lo com segurança?

Navegue suas respostas
8

Em um servidor CentOS 7 , eu digito firewall-cmd --list-all e isso me dá o seguinte: 

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

O que é o serviço dhcpv6-client? O que isso faz? E quais são as implicações de removê-lo?

Eu li a página da Wikipedia por dhcpv6 , mas isso não me diz especificamente o que este serviço em CentOS 7 Firewalld faz.

Este servidor está acessível via https e email via mydomain.com , mas é um servidor privado que só pode ser acessado via https por uma lista de endereços ip conhecidos. Além disso, esse servidor pode receber emails de uma lista de endereços de email conhecidos. O serviço dhcpv6-client é necessário para reconciliar os endereços de domínio das solicitações ip https e para trocar o email com os endereços de e-mail conhecidos?

    
por CodeMed 31.12.2014 / 00:11

3 respostas

12

Isso é necessário se você estiver usando o DHCP v6 devido à maneira ligeiramente diferente que o DHCP trabalha na v4 e v6.

No DHCP v4, o cliente estabelece a conexão com o servidor e, devido às regras padrão para permitir conexões 'estabelecidas' de volta através do firewall, a resposta DHCP de retorno é permitida.

No entanto, no DHCP v6, a solicitação inicial do cliente é enviada para um endereço multicast estaticamente atribuído, enquanto a resposta tem o endereço unicast do servidor DHCP como a origem (consulte RFC 3315 ). Como a fonte agora é diferente do destino da solicitação inicial, a regra 'estabelecida' não permitirá a passagem e, conseqüentemente, o DHCP v6 falhará.

Para combater isso, foi criada uma nova regra firewalld chamada dhcpv6-client , que permite a entrada Respostas do DHCP v6 para passar - esta é a regra dhcpv6-client . Se você não estiver executando o DHCP v6 em sua rede ou se estiver usando o endereçamento IP estático, poderá desativá-lo.

    
por 31.12.2014 / 10:24
3

O dhcpv6-client é o processo do cliente para o DHCPv6. Se você tiver um endereço IPv6 estático ou não usar o IPv6, é seguro desativá-lo. Veja este serverfault answer

    
por 31.12.2014 / 01:28
2

Perspectiva ligeiramente diferente. Você está usando o firewalld como um firewall de host final que basicamente bloqueia todos os serviços, exceto os selecionados, para evitar a publicação de um serviço por engano. Não faz muito sentido usar um firewall para bloquear serviços que você nunca executará.

Na minha opinião, a lógica aqui é falha. Se não houver chance de usar a configuração automática de endereços do IPv6, não há motivo para se preocupar com o firewall. Se houver uma chance de você querer executá-lo, o firewall só será prejudicial.

Existem serviços que você pode usar localmente, que você pode instalar e iniciar de boa fé que eles só ouvem localmente ou que podem começar por engano. Nesse caso, o firewall ajuda a evitar que o serviço seja acessível de fora do servidor. Esse é o valor de um firewall em seu servidor conectado à Internet, não bloqueando respostas a clientes DHCP.

Observe também que a regra de firewall para permitir respostas a pacotes do cliente DHCP é apenas uma solução alternativa para um recurso de kernel ausente. O kernel pode detectar respostas DHCPv4 como respostas para qualquer outro tipo de comunicação. Mas não pode (ou não poderia no momento da decisão de incluir a regra de firewall) fazer o mesmo para o DHCPv6.

    
por 07.01.2015 / 17:37

Tags

Como executar mudanças no servidor remoto como root? Precisa mover a última linha do arquivo para a segunda linha do mesmo arquivo