ファイアウォールのdhcpv6-clientサービスとは何ですか?安全に削除できますか?

ファイアウォールのdhcpv6-clientサービスとは何ですか?安全に削除できますか?

CentOS 7サーバーに入力するfirewall-cmd --list-allと、以下が表示されます。

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

dhcpv6クライアントサービスとは何ですか?それは何をしますか?削除するとどのような影響がありますか?

私は読んだウィキペディアページfordhcpv6ですが、このサービスが何をしているのか具体的には教えてくれませんCentOS 7 Firewalld

サーバーはhttpsおよびemailを介してアクセスできますが、mydomain.comこれはプライベートサーバーであり、既知のhttpsアドレス一覧を介してのみアクセスできます。ipさらに、サーバーは既知の電子メールアドレスのリストから電子メールを受信できます。サービスはdhcpv6-client既知ip httpsの要求のドメインアドレスを調整し、既知の電子メールアドレスと電子メールを交換する必要がありますか?

答え1

v4 と v6 では DHCP が若干異なる動作をするため、DHCP v6 を使用する場合はこれを行う必要があります。

DHCP v4では、クライアントがサーバーとの接続を確立し、デフォルトのルールがファイアウォールを介して「確立された」接続を許可するため、返されたDHCP応答が通過することができます。

ただし、DHCP v6では、初期クライアント要求が静的に割り当てられたマルチキャストアドレスに送信され、応答はDHCPサーバーのユニキャストアドレスから来ます(参照:RFC 3315)。ソースが元の要求の宛先と異なるため、「設定」ルールは要求の通過を許可しないため、DHCP v6は失敗します。

この問題を解決するために、新しいfirewalld ルールが作成されました。dhcpv6-client着信 DHCP v6 応答が通過することを許可する呼び出し - これはdhcpv6-clientルールです。ネットワークでDHCP v6を実行していない場合、または静的IPアドレス指定を使用している場合は、DHCP v6を無効にできます。

答え2

dhcpv6-clientはDHCPv6のクライアントプロセスです。静的IPv6アドレスがある場合、またはIPv6を使用していない場合は、安全に無効にできます。バラよりこのサーバーはダウンしています回答

答え3

視点が少し異なります。誤ってサービスを公開するのを防ぐために、選択したサービスを除くすべてのサービスをデフォルトでブロックする最終的なホストファイアウォールとしてFirewalldを使用します。決して実行しないサービスをブロックするためにファイアウォールを使用することはあまり意味がありません。

私の考えでは、ここにあるロジックに欠陥があります。 IPv6の自動アドレス設定にアクセスできない場合は、ファイアウォールを気にする理由はありません。ファイアウォールは実行したい場合にのみ有害です。

一部のサービスはローカルで利用可能であり、適切な意図でインストールして起動すると、ローカルでのみ受信または誤起動する可能性があります。この場合、ファイアウォールを使用すると、サーバーの外部からサービスにアクセスするのを防ぎます。これは、DHCP クライアントへの応答をブロックするのではなく、インターネットに接続されたサーバーのファイアウォール値です。

さらに、DHCPクライアントからのパケットへの応答を許可するファイアウォールルールは、不足しているカーネル機能の回避策にすぎません。カーネルは、他の種類の通信に対する応答と同様に、DHCPv4応答を検出できます。ただし、DHCPv6に対して同じことを行うことはできません(ファイアウォールルールを含めることにした場合は実行できません)。

関連情報