Eu tenho tentado diminuir as portas que meu Debian 9 abriu em determinados momentos. Foi reduzido com um IP estático, desabilitando os serviços do systemctl e obtive minhas portas UDP e TCP reduzidas; mas por alguma razão, meu NetworkManager tem um soquete RAW com um estado UNCONN apenas esperando algo. Minha pergunta é: por que isso é necessário? Além disso, existe uma maneira de verificar isso com o Zenmap / nmap?
root_user@box# ss -64tuldpw
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
raw UNCONN 0 0 :::ipv6-icmp :::*
users:(("NetworkManager",pid=584,fd=18))
Eu notei dentro do repositório do NetworkManager
git://git.freedesktop.org/git/NetworkManager/NetworkManager.git
Eu encontrei uma função chamada:
int lldp_network_bind_raw_socket(int ifindex) em NetworkManager/src/systemd/src/libsystemd-network/lldp-network.c
Então eu acho que o socket bruto é parte da porção de propaganda da camada de enlace local do NetworkManager?
O Lldp é um protocolo na camada 2, não como o ipv6. Certamente, o soquete bruto para lldp não é do tipo ipv6-icmp, mas ethernet. Além disso, o lldp listening não é feito a menos que você o ative.
O NM usa libndp para manipulação de RA, o que abre um socket bruto e que eu suspeito ser o socket que você está vendo. Se você configurar ipv6.method = ignore, o soquete provavelmente não será mais aberto.