apa layanan dhcpv6-client di firewalld, dan bisakah saya menghapusnya dengan aman?

12

Di CentOS 7server, saya mengetik firewall-cmd --list-all, dan itu memberi saya yang berikut:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

Apa layanan dhcpv6-client? Apa fungsinya? Dan apa implikasi dari menghapusnya?

Saya membaca halaman wikipedia untuk dhcpv6, tetapi tidak memberitahu saya secara spesifik apa layanan ini pada CentOS 7 Firewalldtidak.

Server ini dapat diakses melalui httpsdan emailmelalui mydomain.com, tetapi ini adalah server pribadi yang hanya dapat diakses melalui httpsdaftar ipalamat yang diketahui . Selain itu, server ini dapat menerima email dari daftar alamat email yang dikenal. Apakah dhcpv6-clientlayanan diperlukan untuk merekonsiliasi alamat domain dari ip httpspermintaan yang diketahui dan untuk bertukar email dengan alamat email yang dikenal?

CodeMed
sumber
dhcpv6-client jelas merupakan klien DHCPv6 yang sudah Anda baca di Wikipedia. Saya tidak melihat tujuan dari pertanyaan itu.
Pavel Šimerda
1
layanan firewalld mungkin atau mungkin tidak terikat dengan program aktual yang berjalan pada sistem. Ada sejumlah klien DHCPv6 yang berbeda
Matt

Jawaban:

15

Ini diperlukan jika Anda menggunakan DHCP v6 karena cara DHCP sedikit berbeda dalam v4 dan v6.

Di DHCP v4, klien membuat koneksi dengan server dan karena aturan default untuk memungkinkan koneksi 'mapan' kembali melalui firewall, respons DHCP yang kembali diizinkan.

Namun, dalam DHCP v6, permintaan klien awal dikirim ke alamat multicast yang ditetapkan secara statis sementara responsnya memiliki alamat unicast server DHCP sebagai sumber (lihat RFC 3315 ). Karena sumber sekarang berbeda dengan tujuan permintaan awal, aturan 'ditetapkan' tidak akan mengizinkannya dan akibatnya DHCP v6 akan gagal.

Untuk mengatasi hal ini, baru firewalld aturan itu dibuat disebut dhcpv6-clientyang memungkinkan respon DHCP v6 masuk untuk lulus - ini adalah dhcpv6-clientaturan. Jika Anda tidak menjalankan DHCP v6 di jaringan Anda atau Anda menggunakan pengalamatan IP statis, maka Anda dapat menonaktifkannya.

garethTheRed
sumber
Saya pikir ini disebabkan oleh fitur kernel yang hilang daripada perbedaan dalam protokol. Klien DHCPv4 juga menyiarkan tetapi kernel sudah dapat menanganinya. Saya tidak tahu apakah kernel terbaru sudah menangani DHCPv6 juga atau tidak. Saya akan menandai respons DHCP ESTABLISHEDdalam pelacakan koneksi.
Pavel Šimerda
1
Kernel 4.2 masih tidak melakukan pelacakan koneksi dengan benar untuk balasan unicast DHCPv6 ke soclicitations DHCPv6 multicast.
Matt
4

dhcpv6-client adalah proses klien untuk DHCPv6. Jika Anda memiliki alamat IPv6 statis atau tidak menggunakan IPv6, aman untuk menonaktifkannya. Lihat jawaban kesalahan server ini

Mengungguli
sumber
Bagaimana saya bisa tahu jika saya menggunakan ipv6? Dns saya di titik pendaftar domain menggunakan ipvv ip untuk server.
CodeMed
Jika entri DNS Anda memiliki catatan AAAA, Anda menggunakan IPv6
Outurnate
Anda tidak selalu dapat menilai dengan entri DNS dan Anda tidak akan belajar apa pun tentang konfigurasi. Mengapa Anda tidak menyimpan konfigurasi default saja. Jika Anda sama sekali tidak menggunakan klien DHCPv6, Anda tidak perlu peduli untuk memblokirnya di firewall.
Pavel Šimerda
Itu tidak diblokir di firewall-nya; itu diizinkan. Selain itu, sementara pengujian untuk catatan AAAA tidak akan memastikan bahwa IPv6 tidak digunakan, dalam konteks pertanyaannya (web hosting), kurangnya catatan AAAA menunjukkan bahwa tuan rumahnya tidak menggunakan IPv6
Outurnate
2

Perspektif sedikit berbeda. Anda menggunakan firewalld sebagai firewall host akhir yang pada dasarnya memblokir semua kecuali layanan yang dipilih untuk menghindari penerbitan layanan secara tidak sengaja. Tidak masuk akal untuk menggunakan firewall untuk memblokir layanan yang tidak akan pernah Anda jalankan.

Menurut pendapat saya, logika di sini cacat. Jika tidak ada kemungkinan Anda akan pernah menggunakan konfigurasi alamat IPv6 otomatis, tidak ada alasan untuk peduli dengan firewall. Jika ada kemungkinan Anda ingin menjalankannya, maka firewall hanya akan berbahaya.

Ada layanan yang dapat Anda gunakan secara lokal, yang dapat Anda instal dan mulai dengan itikad baik bahwa mereka hanya mendengarkan secara lokal atau yang dapat memulai karena kesalahan. Dalam hal ini firewall membantu Anda menghindari membuat layanan dapat diakses dari luar server Anda. Itu adalah nilai firewall di server Anda yang terhubung ke internet, tidak memblokir respons ke klien DHCP.

Perhatikan juga bahwa aturan firewall untuk mengizinkan balasan paket dari klien DHCP hanyalah solusi untuk fitur kernel yang hilang. Kernel dapat mendeteksi balasan DHCPv4 seperti balasan untuk semua jenis komunikasi lainnya. Tetapi tidak bisa (atau tidak bisa pada saat keputusan untuk memasukkan aturan firewall) melakukan hal yang sama untuk DHCPv6.

Pavel Šimerda
sumber