什么是firewalld中的dhcpv6-client服务,我可以安全地删除它吗?


13

CentOS 7服务器中,输入firewall-cmd --list-all,它会为我提供以下信息:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

什么是dhcpv6-client服务?它有什么作用?删除它意味着什么?

我读了维基百科页面dhcpv6,但它并没有告诉我具体是什么这个服务CentOS 7 Firewalld呢。

可通过httpsemail通过访问此服务器mydomain.com,但它是专用服务器,只能通过https已知ip地址列表进行访问。另外,该服务器可以接收来自已知电子邮件地址列表的电子邮件。是否dhcpv6-client需要服务来调和已知ip https请求中的域地址,以及用已知电子邮件地址交换电子邮件?


dhcpv6-client显然是您已在Wikipedia中阅读的DHCPv6客户端。那我看不出这个问题的目的。
2014年

1
防火墙服务可能会或可能不会与系统上运行的实际程序联系在一起。有许多不同的DHCPv6客户端
Matt

Answers:


16

如果您使用DHCP v6,则需要这样做,因为DHCP在v4和v6中的工作方式略有不同。

在DHCP v4中,客户端建立与服务器的连接,并且由于默认规则允许“已建立”的连接通过防火墙返回,因此允许返回的DHCP响应通过。

但是,在DHCP v6中,初始客户端请求将发送到静态分配的多播地址,而响应将DHCP服务器的单播地址作为源(请参阅RFC 3315)。由于源现在不同于初始请求的目的地,因此“已建立”规则将不允许其通过,因此DHCP v6将失败。

为了解决这个问题,一个新的firewalld 规则创建名为dhcpv6-client它允许进入的DHCP v6的响应传递-这就是dhcpv6-client规则。如果您的网络上没有运行DHCP v6,或者您使用的是静态IP寻址,则可以将其禁用。


我认为这是由于缺少内核功能而不是协议方面的差异。DHCPv4客户端也可以广播,但是内核已经可以处理它。我不知道最近的内核是否已经可以处理DHCPv6。我正在考虑ESTABLISHED在连接跟踪中标记DHCP响应。
PavelŠimerda2015年

1
内核4.2仍无法正确地对单播DHCPv6对多播DHCPv6应答的答复进行连接跟踪。
马特

4

dhcpv6-client是DHCPv6的客户端进程。如果您具有静态IPv6地址或不使用IPv6,则可以安全地将其禁用。查看此serverfault答案


如何确定我是否使用ipv6?我在域名注册机构的dns使用ipv4 ip作为服务器。
CodeMed 2014年

如果您的DNS条目具有AAAA记录,则您使用的是IPv6
2014年

您不能总是通过DNS条目来判断,也不会了解任何有关配置的信息。为什么不保留默认配置呢?如果根本不使用DHCPv6客户端,则无需担心将其阻止在防火墙中。
PavelŠimerda2015年

它没有在他的防火墙中被阻止;是允许的。此外,虽然测试AAAA记录不会确保未使用IPv6,但在他的问题(网络托管)的背景下,缺少AAAA记录表明他的主机未使用IPv6
Outurnate 2015年

2

观点略有不同。您正在使用firewalld作为最终主机防火墙,该防火墙基本上会阻止除选定服务之外的所有服务,以避免错误发布服务。使用防火墙来阻止您永远不会运行的服务没有多大意义。

我认为,这里的逻辑是有缺陷的。如果您没有机会使用IPv6的自动地址配置,则无需担心防火墙。如果您有可能要运行它,那么防火墙只会是有害的。

您可以在本地使用某些服务,可以真诚地安装和启动这些服务,因为它们只能在本地收听,否则可能会误启动。在这种情况下,防火墙可以帮助您避免从服务器外部访问该服务。这就是连接到Internet的服务器上的防火墙的价值,而不是阻止对DHCP客户端的响应。

还要注意,允许来自DHCP客户端的数据包答复的防火墙规则只是缺少内核功能的一种解决方法。内核可以检测DHCPv4答复,就像对其他任何类型的通信的答复一样。但是它不能(或在决定包括防火墙规则时无法这样做)对DHCPv6相同。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.