Di CentOS 7
server, saya mengetik firewall-cmd --list-all
, dan itu memberi saya yang berikut:
public (default, active)
interfaces: enp3s0
sources:
services: dhcpv6-client https ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
Apa layanan dhcpv6-client? Apa fungsinya? Dan apa implikasi dari menghapusnya?
Saya membaca halaman wikipedia untuk dhcpv6
, tetapi tidak memberitahu saya secara spesifik apa layanan ini pada CentOS 7
Firewalld
tidak.
Server ini dapat diakses melalui https
dan email
melalui mydomain.com
, tetapi ini adalah server pribadi yang hanya dapat diakses melalui https
daftar ip
alamat yang diketahui . Selain itu, server ini dapat menerima email dari daftar alamat email yang dikenal. Apakah dhcpv6-client
layanan diperlukan untuk merekonsiliasi alamat domain dari ip
https
permintaan yang diketahui dan untuk bertukar email dengan alamat email yang dikenal?
Jawaban:
Ini diperlukan jika Anda menggunakan DHCP v6 karena cara DHCP sedikit berbeda dalam v4 dan v6.
Di DHCP v4, klien membuat koneksi dengan server dan karena aturan default untuk memungkinkan koneksi 'mapan' kembali melalui firewall, respons DHCP yang kembali diizinkan.
Namun, dalam DHCP v6, permintaan klien awal dikirim ke alamat multicast yang ditetapkan secara statis sementara responsnya memiliki alamat unicast server DHCP sebagai sumber (lihat RFC 3315 ). Karena sumber sekarang berbeda dengan tujuan permintaan awal, aturan 'ditetapkan' tidak akan mengizinkannya dan akibatnya DHCP v6 akan gagal.
Untuk mengatasi hal ini, baru
firewalld
aturan itu dibuat disebutdhcpv6-client
yang memungkinkan respon DHCP v6 masuk untuk lulus - ini adalahdhcpv6-client
aturan. Jika Anda tidak menjalankan DHCP v6 di jaringan Anda atau Anda menggunakan pengalamatan IP statis, maka Anda dapat menonaktifkannya.sumber
ESTABLISHED
dalam pelacakan koneksi.dhcpv6-client adalah proses klien untuk DHCPv6. Jika Anda memiliki alamat IPv6 statis atau tidak menggunakan IPv6, aman untuk menonaktifkannya. Lihat jawaban kesalahan server ini
sumber
Perspektif sedikit berbeda. Anda menggunakan firewalld sebagai firewall host akhir yang pada dasarnya memblokir semua kecuali layanan yang dipilih untuk menghindari penerbitan layanan secara tidak sengaja. Tidak masuk akal untuk menggunakan firewall untuk memblokir layanan yang tidak akan pernah Anda jalankan.
Menurut pendapat saya, logika di sini cacat. Jika tidak ada kemungkinan Anda akan pernah menggunakan konfigurasi alamat IPv6 otomatis, tidak ada alasan untuk peduli dengan firewall. Jika ada kemungkinan Anda ingin menjalankannya, maka firewall hanya akan berbahaya.
Ada layanan yang dapat Anda gunakan secara lokal, yang dapat Anda instal dan mulai dengan itikad baik bahwa mereka hanya mendengarkan secara lokal atau yang dapat memulai karena kesalahan. Dalam hal ini firewall membantu Anda menghindari membuat layanan dapat diakses dari luar server Anda. Itu adalah nilai firewall di server Anda yang terhubung ke internet, tidak memblokir respons ke klien DHCP.
Perhatikan juga bahwa aturan firewall untuk mengizinkan balasan paket dari klien DHCP hanyalah solusi untuk fitur kernel yang hilang. Kernel dapat mendeteksi balasan DHCPv4 seperti balasan untuk semua jenis komunikasi lainnya. Tetapi tidak bisa (atau tidak bisa pada saat keputusan untuk memasukkan aturan firewall) melakukan hal yang sama untuk DHCPv6.
sumber