Quel est le service client DHCPV6 dans Firewalld et puis-je le supprimer en toute sécurité?
Dans un CentOS 7 Server, je tape firewall-cmd --list-all, et cela me donne ce qui suit:
public (default, active)
interfaces: enp3s0
sources:
services: dhcpv6-client https ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
Quel est le service client DHCPV6? Qu'est ce que ça fait? Et quelles sont les implications de la retirer?
J'ai lu la page Wikipedia pour dhcpv6, mais cela ne me dit pas spécifiquement de ce que ce service sur CentOS 7Firewalld fait.
Ce serveur est accessible via https et email via mydomain.com, mais c'est un serveur privé qui ne peut être accédé que via https par une liste des adresses connues ip. De plus, ce serveur peut recevoir un courrier électronique à partir d'une liste d'adresses électroniques connues. Est le dhcpv6-client Service requis pour réconcilier les adresses de domaine à partir des demandes connues iphttps demandes et pour l'échange du courrier électronique avec des adresses électroniques connues?
Ceci est nécessaire si vous utilisez DHCP V6 en raison de la manière légèrement différente que DHCP fonctionne dans V4 et V6.
Dans DHCP V4, le client établit la connexion avec le serveur et en raison des règles par défaut pour permettre aux connexions "établies" à travers le pare-feu, la réponse DHCP renvoyée est autorisée.
Toutefois, dans DHCP V6, la demande du client initial est envoyée à une adresse de multidiffusion attribuée statique, tandis que la réponse dispose de l'adresse Unicast du serveur DHCP comme source (voir RFC 3315 ). Comme la source est maintenant différente de la destination de la demande initiale, la règle "établie" ne le permettra pas et par conséquent DHCP V6 échouera.
Pour lutter contre cela, une nouvelle firewalldrègle a été créée appelée dhcpv6-client qui permet aux futures réponses de DHCP V6 à réussir - c'est le dhcpv6-client régner. Si vous n'exécutez pas DHCP V6 sur votre réseau ou si vous utilisez l'adressage IP statique, vous pouvez le désactiver.
le client DHCPV6 est le processus client pour DHCPV6. Si vous avez une adresse IPv6 statique ou n'utilisez pas IPv6, il est prudent de le désactiver. Voir ce serveurfault Réponse
Perspective légèrement différente. Vous utilisez le pare-feu comme un pare-feu d'hôte final qui bloque essentiellement tous les services sélectionnés pour éviter de publier un service par erreur. Il n'a pas grand sens d'utiliser un pare-feu pour bloquer les services que vous ne courez jamais.
À mon avis, la logique ici est défectueuse. S'il n'y a aucune chance que vous n'utilisez jamais une configuration automatique d'adresse IPv6, il n'y a aucune raison de se soucier du pare-feu. S'il y a une chance que vous souhaitiez le faire fonctionner, le pare-feu ne serait nuisible que.
Il existe des services que vous pouvez utiliser localement, que vous pouvez installer et commencer de bonne foi qu'elles n'écoutent que localement ou que vous pouvez commencer par erreur. Dans ce cas, le pare-feu vous aide à éviter de rendre le service accessible de l'extérieur de votre serveur. C'est la valeur d'un pare-feu sur votre serveur connecté à Internet, sans bloquer les réponses aux clients DHCP.
Notez également que la règle de pare-feu pour autoriser les réponses aux paquets à partir du client DHCP n'est qu'une solution de contournement pour une fonction de noyau manquante. Le noyau peut détecter les réponses DHCPV4 telles que des réponses pour tout autre type de communication. Mais il ne peut (ni au moment de la décision d'inclure la règle de pare-feu) faire de même pour DHCPv6.