CentOS 7서버 에 입력 firewall-cmd --list-all하면 다음이 표시됩니다.
public (default, active)
interfaces: enp3s0
sources:
services: dhcpv6-client https ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
dhcpv6 클라이언트 서비스란 무엇입니까? 그것은 무엇을 합니까? 제거하면 어떤 영향을 미치나요?
나는 읽었다위키피디아 페이지for dhcpv6이지만 이 서비스가 무엇을 하는지 구체적으로 알려주지는 않습니다 CentOS 7 Firewalld.
서버는 https및 을( email를) 통해 액세스할 수 있지만 mydomain.com이는 개인 서버이며 https알려진 주소 목록을 통해서만 액세스할 수 있습니다. ip또한 서버는 알려진 이메일 주소 목록에서 이메일을 받을 수 있습니다. 서비스 는 dhcpv6-client알려진 요청 ip https의 도메인 주소를 조정하고 알려진 이메일 주소와 이메일을 교환해야 합니까?
답변1
v4와 v6에서는 DHCP가 약간 다르게 작동하므로 DHCP v6을 사용하는 경우 이 작업을 수행해야 합니다.
DHCP v4에서는 클라이언트가 서버와의 연결을 설정하고 기본 규칙이 방화벽을 통해 "설정된" 연결을 허용하므로 반환된 DHCP 응답이 통과되도록 허용됩니다.
그러나 DHCP v6에서는 초기 클라이언트 요청이 정적으로 할당된 멀티캐스트 주소로 전송되고 응답은 DHCP 서버의 유니캐스트 주소에서 나옵니다(참조:RFC 3315). 이제 소스가 원래 요청의 대상과 다르기 때문에 "설정된" 규칙은 요청 통과를 허용하지 않으므로 DHCP v6은 실패합니다.
이 문제를 해결하기 위해 새로운firewalld 규칙이 생성되었습니다.dhcpv6-client들어오는 DHCP v6 응답이 통과하도록 허용하는 호출 - 이것이 dhcpv6-client규칙입니다. 네트워크에서 DHCP v6을 실행하지 않거나 고정 IP 주소 지정을 사용하는 경우 DHCP v6을 비활성화할 수 있습니다.
답변2
dhcpv6-client는 DHCPv6의 클라이언트 프로세스입니다. 고정 IPv6 주소가 있거나 IPv6를 사용하지 않는 경우 안전하게 비활성화할 수 있습니다. 바라보다이 서버는 다운되었습니다답변
답변3
관점이 조금 다릅니다. 실수로 서비스를 게시하는 것을 방지하기 위해 선택한 서비스를 제외한 모든 서비스를 기본적으로 차단하는 최종 호스트 방화벽으로 Firewalld를 사용합니다. 절대로 실행하지 않을 서비스를 차단하기 위해 방화벽을 사용하는 것은 별 의미가 없습니다.
제 생각에는 여기에 있는 논리에 결함이 있습니다. IPv6에 대한 자동 주소 구성에 액세스할 수 없다면 방화벽에 신경 쓸 이유가 없습니다. 방화벽은 실행하려는 경우에만 해롭습니다.
일부 서비스는 로컬에서 사용할 수 있으며 좋은 의도로 설치하고 시작하면 로컬에서만 수신되거나 잘못 시작될 수 있습니다. 이 경우 방화벽을 사용하면 서버 외부에서 서비스에 액세스하는 것을 방지할 수 있습니다. 이는 DHCP 클라이언트에 대한 응답을 차단하는 것이 아니라 인터넷에 연결된 서버의 방화벽 값입니다.
또한 DHCP 클라이언트의 패킷에 대한 응답을 허용하는 방화벽 규칙은 누락된 커널 기능에 대한 해결 방법일 뿐입니다. 커널은 다른 유형의 통신에 대한 응답과 마찬가지로 DHCPv4 응답을 감지할 수 있습니다. 그러나 DHCPv6에 대해서는 동일한 작업을 수행할 수 없습니다(방화벽 규칙을 포함하기로 결정한 경우에는 수행할 수 없음).