firewalldのdhcpv6-clientサービスとは何ですか?安全に削除できますか?


12

ではCentOS 7、サーバ、私が入力しfirewall-cmd --list-all、それは私に次のようになります:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

dhcpv6-clientサービスとは何ですか?それは何をするためのものか?そして、それを削除する意味は何ですか?

私は読んでWikipediaのページのためにdhcpv6、それは、具体的にこのサービスがものを私に教えてくれないCentOS 7 Firewalldん。

このサーバーは、httpsおよびemailを介してアクセスできますが、既知のアドレスのリストをmydomain.com介しhttpsてのみアクセスできるプライベートサーバーですip。さらに、このサーバーは、既知の電子メールアドレスのリストから電子メールを受信できます。dhcpv6-clientサービスは、既知のip https要求からドメインアドレスを調整し、既知の電子メールアドレスと電子メールを交換するために必要ですか?


dhcpv6-clientは明らかに、すでにウィキペディアで読んだDHCPv6クライアントです。そのとき、質問の目的がわかりません。
パベルシメルダ14

1
firewalldサービスは、システムで実行されている実際のプログラムに関連付けられている場合とされていない場合があります。異なるDHCPv6クライアントの数があります
マット・

回答:


15

DHCPがv4とv6で動作する方法が少し異なるため、DHCP v6を使用している場合、これが必要です。

DHCP v4では、クライアントはサーバーとの接続を確立し、ファイアウォールを介して「確立された」接続を許可するデフォルトのルールにより、返されるDHCP応答は許可されます。

ただし、DHCP v6では、最初のクライアント要求は静的に割り当てられたマルチキャストアドレスに送信されますが、応答にはDHCPサーバーのユニキャストアドレスがソースとして含まれます(RFC 3315を参照)。現在、ソースは最初のリクエストの宛先とは異なるため、「確立された」ルールはそれを許可せず、その結果DHCP v6は失敗します。

これに対処するために、着信DHCP v6応答の通過を許可するという新しいfirewalld ルールが作成されましdhcpv6-clientた-これがdhcpv6-clientルールです。ネットワークでDHCP v6を実行していない場合、または静的IPアドレスを使用している場合は、無効にすることができます。


これは、プロトコルの違いではなく、カーネル機能が欠落しているためだと思います。DHCPv4クライアントもブロードキャストしますが、カーネルはすでにそれを処理できます。最近のカーネルがすでにDHCPv6も処理しているかどうかはわかりません。ESTABLISHED接続追跡でDHCP応答をマークすることについて考えています。
パベルシメルダ

1
カーネル4.2は、マルチキャストDHCPv6 soclicitationsに対するユニキャストDHCPv6応答の接続追跡を引き続き適切に行いません。
マット

4

dhcpv6-clientは、DHCPv6のクライアントプロセスです。静的IPv6アドレスがある場合、またはIPv6を使用しない場合は、安全に無効にできます。このserverfaultの回答をご覧ください


ipv6を使用しているかどうかを確認するにはどうすればよいですか?ドメインレジストラーポイントのDNSは、サーバーにipv4 ipを使用します。
CodeMed

あなたのDNSエントリがAAAAレコードを持っている場合は、IPv6の使用している
Outurnate

DNSエントリで常に判断できるわけではなく、設定について何も学習しません。デフォルトの構成をそのままにしてみませんか。DHCPv6クライアントをまったく使用していない場合、ファイアウォールでブロックすることを気にする必要はありません。
パベルシメルダ

彼のファイアウォールでブロックされていません。許可されています。また、AAAAレコードをテストすると、IPv6が使用されていないことを保証しませんが、彼の質問(ウェブホスティング)の文脈では、AAAAレコードの欠如は、彼のホストがIPv6を使用しないことを示します
Outurnate

2

少し異なる視点。firewalldをエンドホストファイアウォールとして使用し、選択したサービスを除くすべてを基本的にブロックして、誤ってサービスを公開しないようにします。ファイアウォールを使用して、決して実行されないサービスをブロックすることはあまり意味がありません。

私の意見では、ここの論理には欠陥があります。IPv6の自動アドレス構成を使用する可能性がない場合、ファイアウォールを気にする必要はありません。実行する可能性がある場合、ファイアウォールは有害です。

ローカルで使用できるサービス、インストールしてローカルでのみリッスンできるサービス、または誤って開始できるサービスがあります。その場合、ファイアウォールは、サーバーの外部からサービスにアクセスできないようにするのに役立ちます。これは、インターネットに接続されているサーバー上のファイアウォールの価値であり、DHCPクライアントへの応答をブロックするものではありません。

また、DHCPクライアントからのパケットへの応答を許可するファイアウォール規則は、カーネル機能が欠落している場合の単なる回避策であることに注意してください。カーネルは、他のタイプの通信に対する応答のようなDHCPv4応答を検出できます。ただし、DHCPv6に対して同じことを行うことはできません(または、ファイアウォールルールを含めることを決定した時点ではできませんでした)。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.