방화벽에서 dhcpv6-client 서비스는 무엇이며 안전하게 제거 할 수 있습니까?

A의 CentOS 7서버, I는 입력 firewall-cmd --list-all, 그것은 나에게 다음을 제공합니다 :

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

dhcpv6-client 서비스 란 무엇입니까? 무엇을합니까? 그것을 제거하면 어떤 의미가 있습니까?

에 대한 wikipedia 페이지 를 읽었 dhcpv6지만이 서비스의 기능을 구체적으로 알려주지 CentOS 7 Firewalld는 않습니다.

이 서버를 통해 액세스 https및 email경유 mydomain.com하지만, 그것은 단지를 통해 액세스 할 수있는 개인 서버로 https알려진의 목록 ip주소. 또한이 서버는 알려진 전자 메일 주소 목록에서 전자 메일을받을 수 있습니다. dhcpv6-client알려진 ip https요청 에서 도메인 주소를 조정하고 알려진 이메일 주소로 이메일을 교환 하려면 서비스가 필요 합니까?

이것은 DHCP가 v4 및 v6에서 작동하는 방식이 약간 다르기 때문에 DHCP v6을 사용하는 경우 필요합니다.

DHCP v4에서 클라이언트는 서버와 연결을 설정하고 방화벽을 통해 '확립 된'연결을 다시 허용하는 기본 규칙으로 인해 반환 DHCP 응답이 허용됩니다.

그러나 DHCP v6에서는 초기 클라이언트 요청이 정적으로 할당 된 멀티 캐스트 주소로 전송되는 반면 응답에는 DHCP 서버의 유니 캐스트 주소가 소스로 포함됩니다 ( RFC 3315 참조 ). 소스가 이제 초기 요청의 대상과 다르기 때문에 '설정된'규칙이이를 통과 할 수 없으므로 DHCP v6이 실패합니다.

이 문제를 방지하려면 새 firewalld 규칙이 만들어진 라는 dhcpv6-client이가있다 - 들어오는 DHCP 버전 6 응답 통과를 허용하는 dhcpv6-client규칙입니다. 네트워크에서 DHCP v6을 실행하지 않거나 고정 IP 주소를 사용하는 경우 비활성화 할 수 있습니다.

dhcpv6-client는 DHCPv6의 클라이언트 프로세스입니다. 고정 IPv6 주소가 있거나 IPv6을 사용하지 않는 경우 비활성화해도 안전합니다. 이 serverfault 답변을 참조하십시오

약간 다른 관점. 실수로 서비스를 게시하지 않도록 선택된 서비스를 제외한 모든 서비스를 차단하는 최종 호스트 방화벽으로 방화벽을 사용하고 있습니다. 절대로 실행되지 않을 서비스를 차단하기 위해 방화벽을 사용하는 것은 이치에 맞지 않습니다.

제 생각에는 여기의 논리에 결함이 있습니다. IPv6의 자동 주소 구성을 사용할 가능성이 없다면 방화벽을 신경 쓸 이유가 없습니다. 실행하고 싶을 가능성이 있다면 방화벽은 해로울뿐입니다.

로컬에서 사용할 수있는 서비스가 있으며, 로컬에서만 청취하거나 실수로 시작할 수 있다는 선의로 설치하고 시작할 수 있습니다. 이 경우 방화벽은 서버 외부에서 서비스에 액세스 할 수 없도록합니다. 이는 DHCP 클라이언트에 대한 응답을 차단하지 않고 인터넷에 연결된 서버의 방화벽 값입니다.

또한 DHCP 클라이언트의 패킷에 대한 응답을 허용하는 방화벽 규칙은 누락 된 커널 기능에 대한 해결 방법 일뿐입니다. 커널은 다른 유형의 통신에 대한 회신과 같은 DHCPv4 회신을 탐지 할 수 있습니다. 그러나 DHCPv6에 대해 동일한 작업을 수행 할 수 없거나 방화벽 규칙을 포함 할 때 결정하지 못했습니다.