방화벽에서 dhcpv6-client 서비스는 무엇이며 안전하게 제거 할 수 있습니까?


13

A의 CentOS 7서버, I는 입력 firewall-cmd --list-all, 그것은 나에게 다음을 제공합니다 :

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

dhcpv6-client 서비스 란 무엇입니까? 무엇을합니까? 그것을 제거하면 어떤 의미가 있습니까?

대한 wikipedia 페이지 를 읽었 dhcpv6지만이 서비스의 기능을 구체적으로 알려주지 CentOS 7 Firewalld는 않습니다.

이 서버를 통해 액세스 httpsemail경유 mydomain.com하지만, 그것은 단지를 통해 액세스 할 수있는 개인 서버로 https알려진의 목록 ip주소. 또한이 서버는 알려진 전자 메일 주소 목록에서 전자 메일을받을 수 있습니다. dhcpv6-client알려진 ip https요청 에서 도메인 주소를 조정하고 알려진 이메일 주소로 이메일을 교환 하려면 서비스가 필요 합니까?


dhcpv6-client는 분명히 Wikipedia에서 이미 읽은 DHCPv6 클라이언트입니다. 그때 질문의 목적이 보이지 않습니다.
Pavel Šimerda

1
방화벽 서비스는 시스템에서 실행되는 실제 프로그램에 연결되거나 연결되지 않을 수 있습니다. 다양한 DHCPv6 클라이언트가 있습니다
Matt

답변:


16

이것은 DHCP가 v4 및 v6에서 작동하는 방식이 약간 다르기 때문에 DHCP v6을 사용하는 경우 필요합니다.

DHCP v4에서 클라이언트는 서버와 연결을 설정하고 방화벽을 통해 '확립 된'연결을 다시 허용하는 기본 규칙으로 인해 반환 DHCP 응답이 허용됩니다.

그러나 DHCP v6에서는 초기 클라이언트 요청이 정적으로 할당 된 멀티 캐스트 주소로 전송되는 반면 응답에는 DHCP 서버의 유니 캐스트 주소가 소스로 포함됩니다 ( RFC 3315 참조 ). 소스가 이제 초기 요청의 대상과 다르기 때문에 '설정된'규칙이이를 통과 할 수 없으므로 DHCP v6이 실패합니다.

이 문제를 방지하려면 새 firewalld 규칙이 만들어진 라는 dhcpv6-client이가있다 - 들어오는 DHCP 버전 6 응답 통과를 허용하는 dhcpv6-client규칙입니다. 네트워크에서 DHCP v6을 실행하지 않거나 고정 IP 주소를 사용하는 경우 비활성화 할 수 있습니다.


프로토콜의 차이점보다는 커널 기능이 없기 때문이라고 생각합니다. DHCPv4 클라이언트도 브로드 캐스트하지만 커널은 이미이를 처리 할 수 ​​있습니다. 최근 커널이 이미 DHCPv6을 처리하는지 여부를 모르겠습니다. ESTABLISHED연결 추적에서 DHCP 응답 을 표시하려고합니다 .
Pavel Šimerda

1
커널 4.2는 여전히 유니 캐스트 DHCPv6의 멀티 캐스트 DHCPv6 요청에 대한 연결 추적을 제대로 수행하지 않습니다.
Matt

4

dhcpv6-client는 DHCPv6의 클라이언트 프로세스입니다. 고정 IPv6 주소가 있거나 IPv6을 사용하지 않는 경우 비활성화해도 안전합니다. 이 serverfault 답변을 참조하십시오


ipv6 사용 여부를 어떻게 알 수 있습니까? 도메인 등록 기관의 내 DNS는 서버에 ipv4 ip를 사용합니다.
CodeMed

DNS 항목에 AAAA 레코드가있는 경우 IPv6
Outurnate

항상 DNS 입력으로 판단 할 수는 없으며 구성에 대한 정보를 얻지 못합니다. 기본 구성 만 유지하면 안됩니다. DHCPv6 클라이언트를 전혀 사용하지 않는 경우 방화벽에서 클라이언트를 차단할 필요가 없습니다.
Pavel Šimerda

방화벽에서 차단되지 않았습니다. 허용됩니다. 또한 AAAA 레코드를 테스트해도 IPv6이 사용되지 않는 것은 아니지만 (웹 호스팅) AAAA 레코드가 부족하면 호스트가 IPv6을 사용하지 않음을 나타냅니다
Outurnate

2

약간 다른 관점. 실수로 서비스를 게시하지 않도록 선택된 서비스를 제외한 모든 서비스를 차단하는 최종 호스트 방화벽으로 방화벽을 사용하고 있습니다. 절대로 실행되지 않을 서비스를 차단하기 위해 방화벽을 사용하는 것은 이치에 맞지 않습니다.

제 생각에는 여기의 논리에 결함이 있습니다. IPv6의 자동 주소 구성을 사용할 가능성이 없다면 방화벽을 신경 쓸 이유가 없습니다. 실행하고 싶을 가능성이 있다면 방화벽은 해로울뿐입니다.

로컬에서 사용할 수있는 서비스가 있으며, 로컬에서만 청취하거나 실수로 시작할 수 있다는 선의로 설치하고 시작할 수 있습니다. 이 경우 방화벽은 서버 외부에서 서비스에 액세스 할 수 없도록합니다. 이는 DHCP 클라이언트에 대한 응답을 차단하지 않고 인터넷에 연결된 서버의 방화벽 값입니다.

또한 DHCP 클라이언트의 패킷에 대한 응답을 허용하는 방화벽 규칙은 누락 된 커널 기능에 대한 해결 방법 일뿐입니다. 커널은 다른 유형의 통신에 대한 회신과 같은 DHCPv4 회신을 탐지 할 수 있습니다. 그러나 DHCPv6에 대해 동일한 작업을 수행 할 수 없거나 방화벽 규칙을 포함 할 때 결정하지 못했습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.