что такое служба dhcpv6-client в firewalld, и могу ли я безопасно удалить ее?

На сервере CentOS 7 я firewall-cmd --list-all , и это дает мне следующее:

 public (default, active) interfaces: enp3s0 sources: services: dhcpv6-client https ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: 

Что такое служба dhcpv6-client? Что оно делает? И каковы последствия его устранения?

Я прочитал страницу wikipedia для dhcpv6 , но это не говорит мне конкретно, что делает эта услуга на CentOS 7 Firewalld .

Этот сервер доступен через https и email через mydomain.com , но это частный сервер, доступ к которому можно получить только через https по списку известных ip адресов. Кроме того, этот сервер может получать электронную почту из списка известных адресов электронной почты. dhcpv6-client ли dhcpv6-client для согласования адресов домена с известными запросами ip https и для обмена электронной почтой с известными адресами электронной почты?

3 Solutions collect form web for “что такое служба dhcpv6-client в firewalld, и могу ли я безопасно удалить ее?”

Это необходимо, если вы используете DHCP v6 из-за немного другого способа работы DHCP в версиях v4 и v6.

В DHCP v4 клиент устанавливает соединение с сервером, и из-за правил по умолчанию, разрешающих «установленные» соединения через брандмауэр, возвращается возвращаемый ответ DHCP.

Однако в DHCP v6 первоначальный запрос клиента отправляется на статически назначенный многоадресный адрес, в то время как ответ имеет одноадресный адрес DHCP-сервера в качестве источника (см. RFC 3315 ). Поскольку исходный код теперь отличается от адресата первоначального запроса, «установленное» правило не разрешит его, и, следовательно, DHCP v6 завершится с ошибкой.

Для борьбы с этим было создано новое правило firewalld называемое dhcpv6-client которое позволяет передавать входящие ответы DHCP v6 – это правило dhcpv6-client . Если вы не используете DHCP v6 в своей сети или используете статическую IP-адресацию, вы можете отключить его.

dhcpv6-client – это клиентский процесс для DHCPv6. Если у вас есть статический IPv6-адрес или вы не используете IPv6, его можно отключить. См. Этот ответ сервера

Немного другая перспектива. Вы используете firewalld в качестве брандмауэра конечного хоста, который в основном блокирует все, кроме выбранных служб, чтобы избежать публикации службы по ошибке. Не имеет смысла использовать брандмауэр для блокировки служб, которые вы никогда не будете запускать.

На мой взгляд, логика здесь ошибочна. Если нет никаких шансов, что вы когда-либо используете автоматическую настройку адресов IPv6, нет причин заботиться о брандмауэре. Если есть вероятность, что вы захотите запустить его, тогда брандмауэр будет только вредным.

Есть службы, которые вы можете использовать на местном уровне, которые вы можете установить и начать добросовестно, что они только слушают локально или могут начать работу по ошибке. В этом случае брандмауэр поможет вам избежать доступа к сервису извне вашего сервера. Это значение брандмауэра на вашем сервере, подключенного к Интернету, а не блокирование ответов на DHCP-клиенты.

Также обратите внимание, что правило брандмауэра, позволяющее отвечать на запросы пакетов от DHCP-клиента, является лишь обходным решением для отсутствующей функции ядра. Ядро может обнаруживать ответы DHCPv4, такие как ответы для любого другого типа связи. Но он не может (или не мог в момент принятия решения о включении правила брандмауэра) сделать то же самое для DHCPv6.

  • Firewalld переадресация между неработающими зонами
  • с firewalld можно ли использовать инвертированный ipset в качестве источника?
  • блокировка всех, кроме определенных ips, определенных сервисов в CentOS 7
  • Почему трафик соответствует общественной зоне вместо нужной зоны?
  • Как разрешить IGMP-трафик в Firewalld?
  • Конфигурация зоны CentOS 7 Firewalld для частного веб-приложения
  • Как сделать modprobe nf_conntrack_ftp упорством перезагрузки на CentOS 7 и firewalld?
  • Прямое движение между двумя Firewalld интерфейсами в одной и той же зоне
  • как сделать изменения брандмауэра постоянными через firewall-cmd?
  • Возможно ли перенаправить трафик на IP-адрес злоумышленника?
  • определение firewalld-разрешений без SELinux в Debian
  • Linux и Unix - лучшая ОС в мире.