firewalldのdhcpv6-clientサービスとは何ですか？安全に削除できますか？

ではCentOS 7、サーバ、私が入力しfirewall-cmd --list-all、それは私に次のようになります：

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

dhcpv6-clientサービスとは何ですか？それは何をするためのものか？そして、それを削除する意味は何ですか？

私は読んでWikipediaのページのためにdhcpv6、それは、具体的にこのサービスがものを私に教えてくれないCentOS 7 Firewalldん。

このサーバーは、httpsおよびemailを介してアクセスできますが、既知のアドレスのリストをmydomain.com介しhttpsてのみアクセスできるプライベートサーバーですip。さらに、このサーバーは、既知の電子メールアドレスのリストから電子メールを受信できます。dhcpv6-clientサービスは、既知のip https要求からドメインアドレスを調整し、既知の電子メールアドレスと電子メールを交換するために必要ですか？

DHCPがv4とv6で動作する方法が少し異なるため、DHCP v6を使用している場合、これが必要です。

DHCP v4では、クライアントはサーバーとの接続を確立し、ファイアウォールを介して「確立された」接続を許可するデフォルトのルールにより、返されるDHCP応答は許可されます。

ただし、DHCP v6では、最初のクライアント要求は静的に割り当てられたマルチキャストアドレスに送信されますが、応答にはDHCPサーバーのユニキャストアドレスがソースとして含まれます（RFC 3315を参照）。現在、ソースは最初のリクエストの宛先とは異なるため、「確立された」ルールはそれを許可せず、その結果DHCP v6は失敗します。

これに対処するために、着信DHCP v6応答の通過を許可するという新しいfirewalld ルールが作成されましdhcpv6-clientた-これがdhcpv6-clientルールです。ネットワークでDHCP v6を実行していない場合、または静的IPアドレスを使用している場合は、無効にすることができます。

dhcpv6-clientは、DHCPv6のクライアントプロセスです。静的IPv6アドレスがある場合、またはIPv6を使用しない場合は、安全に無効にできます。このserverfaultの回答をご覧ください

少し異なる視点。firewalldをエンドホストファイアウォールとして使用し、選択したサービスを除くすべてを基本的にブロックして、誤ってサービスを公開しないようにします。ファイアウォールを使用して、決して実行されないサービスをブロックすることはあまり意味がありません。

私の意見では、ここの論理には欠陥があります。IPv6の自動アドレス構成を使用する可能性がない場合、ファイアウォールを気にする必要はありません。実行する可能性がある場合、ファイアウォールは有害です。

ローカルで使用できるサービス、インストールしてローカルでのみリッスンできるサービス、または誤って開始できるサービスがあります。その場合、ファイアウォールは、サーバーの外部からサービスにアクセスできないようにするのに役立ちます。これは、インターネットに接続されているサーバー上のファイアウォールの価値であり、DHCPクライアントへの応答をブロックするものではありません。

また、DHCPクライアントからのパケットへの応答を許可するファイアウォール規則は、カーネル機能が欠落している場合の単なる回避策であることに注意してください。カーネルは、他のタイプの通信に対する応答のようなDHCPv4応答を検出できます。ただし、DHCPv6に対して同じことを行うことはできません（または、ファイアウォールルールを含めることを決定した時点ではできませんでした）。