che cos'è il servizio client dhcpv6 in firewalld e posso rimuoverlo in sicurezza?


13

In un CentOS 7server, scrivo firewall-cmd --list-alle mi dà quanto segue:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

Cos'è il servizio client dhcpv6? Che cosa fa? E quali sono le implicazioni per rimuoverlo?

Ho letto la pagina di wikipedia per dhcpv6, ma non mi dice specificamente che cosa questo servizio su CentOS 7 Firewalldfa.

Questo server è accessibile via httpse emailvia mydomain.com, ma è un server privato a cui è possibile accedere solo tramite httpsun elenco di ipindirizzi noti . Inoltre, questo server può ricevere e-mail da un elenco di indirizzi e-mail noti. Il dhcpv6-clientservizio è necessario per riconciliare gli indirizzi di dominio dalle ip httpsrichieste note e per scambiare l'e-mail con indirizzi e-mail noti?


dhcpv6-client è ovviamente un client DHCPv6 di cui hai già letto su Wikipedia. Allora non vedo lo scopo della domanda.
Pavel Šimerda,

1
i servizi firewalld possono o meno essere collegati a un programma reale in esecuzione sul sistema. Esistono numerosi client DHCPv6 diversi
Matt

Risposte:


16

Ciò è necessario se si utilizza DHCP v6 a causa del modo leggermente diverso in cui funziona DHCP in v4 e v6.

In DHCP v4 il client stabilisce la connessione con il server e, a causa delle regole predefinite per consentire le connessioni "stabilite" attraverso il firewall, è consentita la risposta DHCP di ritorno.

Tuttavia, in DHCP v6, la richiesta client iniziale viene inviata a un indirizzo multicast assegnato staticamente mentre la risposta ha come indirizzo di origine l'indirizzo unicast del server DHCP (vedere RFC 3315 ). Poiché l'origine è ora diversa dalla destinazione della richiesta iniziale, la regola "stabilita" non lo consentirà e di conseguenza DHCP v6 non riuscirà.

Per contrastare ciò, è firewalld stata creata una nuova regola chiamata dhcpv6-clientche consente il passaggio delle risposte DHCP v6 in entrata: questa è la dhcpv6-clientregola. Se non stai eseguendo DHCP v6 sulla tua rete o stai utilizzando un indirizzo IP statico, puoi disabilitarlo.


Penso che sia dovuto a una caratteristica del kernel mancante piuttosto che alle differenze nei protocolli. Anche il client DHCPv4 trasmette, ma il kernel può già gestirlo. Non so se un kernel recente gestisce già anche DHCPv6. Sto prendendo in considerazione la marcatura delle risposte DHCP ESTABLISHEDnel tracciamento della connessione.
Pavel Šimerda,

1
Il kernel 4.2 continua a non eseguire correttamente il tracciamento della connessione per le risposte unicast di DHCPv6 alle socializzazioni multicast di DHCPv6.
Matt,

4

dhcpv6-client è il processo client per DHCPv6. Se hai un indirizzo IPv6 statico o non usi IPv6, è sicuro disabilitarlo. Vedi questa risposta predefinita del server


Come posso sapere se utilizzo ipv6? I miei DNS nel punto di registrazione del dominio usano l'ip ipv4 per il server.
CodeMed

Se la tua voce DNS ha un record AAAA, stai usando IPv6
Outurnate

Non puoi sempre giudicare dalla voce DNS e non imparerai nulla sulla configurazione. Perché non mantieni solo la configurazione predefinita. Se non stai utilizzando un client DHCPv6, non devi preoccuparti di bloccarlo nel firewall.
Pavel Šimerda,

Non è bloccato nel suo firewall; è permesso. Inoltre, mentre il test per un record AAAA non garantirà che IPv6 non sia utilizzato, nel contesto della sua domanda (web hosting), una mancanza di record AAAA indica che il suo host non utilizza IPv6
Outurnate

2

Prospettiva leggermente diversa. Stai usando firewalld come firewall dell'host finale che sostanzialmente blocca tutti i servizi tranne quelli selezionati per evitare di pubblicare un servizio per errore. Non ha molto senso utilizzare un firewall per bloccare i servizi che non verranno mai eseguiti.

Secondo me, la logica qui è imperfetta. Se non c'è possibilità che tu abbia mai usato la configurazione automatica dell'indirizzo di IPv6, non c'è motivo di preoccuparti del firewall. Se c'è la possibilità che tu voglia eseguirlo, il firewall sarebbe solo dannoso.

Ci sono servizi che puoi usare localmente, che puoi installare e avviare in buona fede che ascoltano solo localmente o che possono iniziare per errore. In tal caso il firewall ti aiuta a evitare di rendere il servizio accessibile dall'esterno del tuo server. Questo è il valore di un firewall sul tuo server connesso a Internet, che non blocca le risposte ai client DHCP.

Si noti inoltre che la regola del firewall per consentire le risposte ai pacchetti dal client DHCP è solo una soluzione alternativa per una funzionalità del kernel mancante. Il kernel può rilevare le risposte DHCPv4 come le risposte per qualsiasi altro tipo di comunicazione. Ma non è possibile (o non è stato possibile, al momento della decisione di includere la regola firewall) fare lo stesso per DHCPv6.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.