फ़ायरवॉल में dhcpv6- क्लाइंट सेवा क्या है, और क्या मैं इसे सुरक्षित रूप से निकाल सकता हूँ?

एक CentOS 7सर्वर में, मैं टाइप करता हूं firewall-cmd --list-all, और यह मुझे निम्नलिखित देता है:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

Dhcpv6- क्लाइंट सेवा क्या है? यह क्या करता है? और इसे हटाने के निहितार्थ क्या हैं?

मैंने पढ़ा है विकिपीडिया पृष्ठ के लिए dhcpv6है, लेकिन यह मेरे लिए विशेष रूप से क्या पर इस सेवा नहीं बताता CentOS 7 Firewalldहै।

यह सर्वर के माध्यम से httpsऔर के emailमाध्यम से पहुँचा जा सकता है mydomain.com, लेकिन यह एक निजी सर्वर है जिसे केवल httpsज्ञात ipपतों की सूची के माध्यम से पहुँचा जा सकता है । इसके अलावा, यह सर्वर ज्ञात ईमेल पतों की सूची से ईमेल प्राप्त कर सकता है। क्या dhcpv6-clientडोमेन को ज्ञात ip httpsअनुरोधों से डोमेन पते को समेटने के लिए और ज्ञात ईमेल पते के साथ ईमेल का आदान-प्रदान करने के लिए आवश्यक है ?

यदि आप DHCP v6 को थोड़ा अलग तरीके से उपयोग कर रहे हैं तो यह आवश्यक है कि DHCP v4 और v6 में काम करता है।

डीएचसीपी v4 में क्लाइंट सर्वर के साथ कनेक्शन स्थापित करता है और फ़ायरवॉल के माध्यम से 'स्थापित' कनेक्शन को वापस करने के लिए डिफ़ॉल्ट नियमों के कारण, लौटने वाले डीएचसीपी प्रतिक्रिया के माध्यम से अनुमति दी जाती है।

हालांकि, डीएचसीपी वी 6 में, प्रारंभिक क्लाइंट अनुरोध को एक सांख्यिकीय रूप से असाइन किए गए मल्टीकास्ट पते पर भेजा जाता है, जबकि प्रतिक्रिया में स्रोत के रूप में डीएचसीपी सर्वर का यूनिकस्ट पता होता है ( आरएफसी 3315 देखें )। जैसा कि स्रोत अब प्रारंभिक अनुरोध के गंतव्य के लिए अलग है, 'स्थापित' नियम इसके माध्यम से अनुमति नहीं देगा और इसके परिणामस्वरूप डीएचसीपी v6 विफल हो जाएगा।

इसकी रोकथाम के लिए, एक नया firewalld नियम बनाया गया था बुलाया dhcpv6-clientजो आने डीएचसीपी v6 प्रतिक्रियाओं पारित करने के लिए अनुमति देता है - यह dhcpv6-clientनियम। यदि आप अपने नेटवर्क पर डीएचसीपी v6 नहीं चला रहे हैं या आप स्थैतिक आईपी एड्रेसिंग का उपयोग कर रहे हैं, तो आप इसे निष्क्रिय कर सकते हैं।

dhcpv6- क्लाइंट DHCPv6 के लिए क्लाइंट प्रक्रिया है। यदि आपके पास एक स्थिर IPv6 पता है या IPv6 का उपयोग नहीं करते हैं, तो इसे अक्षम करना सुरक्षित है। इस सर्वरफॉल्ट उत्तर को देखें

थोड़ा अलग नजरिया। आप फ़ायरवॉल को एक अंतिम होस्ट फ़ायरवॉल के रूप में उपयोग कर रहे हैं जो मूल रूप से गलती से किसी सेवा को प्रकाशित करने से बचने के लिए सभी चयनित सेवाओं को अवरुद्ध करता है। यह उन सेवाओं को अवरुद्ध करने के लिए फ़ायरवॉल का उपयोग करने के लिए बहुत अधिक समझ में नहीं आता है जिन्हें आप कभी नहीं चलाएंगे।

मेरी राय में, यहाँ तर्क त्रुटिपूर्ण है। अगर कोई मौका नहीं है तो आप कभी भी IPv6 के स्वचालित पता कॉन्फ़िगरेशन का उपयोग करेंगे, फ़ायरवॉल की परवाह करने का कोई कारण नहीं है। अगर कोई मौका है कि आप इसे चलाना चाहेंगे, तो फ़ायरवॉल केवल हानिकारक होगा।

ऐसी सेवाएँ हैं जिनका आप स्थानीय रूप से उपयोग कर सकते हैं, जिन्हें आप स्थापित कर सकते हैं और अच्छे विश्वास में शुरू कर सकते हैं कि वे केवल स्थानीय रूप से सुनते हैं या जो गलती से शुरू हो सकते हैं। उस स्थिति में फ़ायरवॉल आपके सर्वर के बाहर से सेवा को सुलभ बनाने से बचने में आपकी मदद करता है। यह इंटरनेट से जुड़े आपके सर्वर पर फ़ायरवॉल का मूल्य है, डीएचसीपी ग्राहकों के लिए प्रतिक्रियाओं को अवरुद्ध नहीं करता है।

यह भी ध्यान दें कि DHCP क्लाइंट से पैकेट के जवाब देने के लिए फ़ायरवॉल नियम केवल एक लापता कर्नेल सुविधा के लिए एक समाधान है। किसी अन्य प्रकार के संचार के लिए कर्नेल DHCPv4 उत्तरों की तरह पता लगा सकता है। लेकिन यह (फ़ायरवॉल नियम को शामिल करने के निर्णय के समय नहीं कर सका) डीएचसीपीवी 6 के लिए भी ऐसा ही करें।