Jaká příchozí připojení TCP a UDP jsou povolena podle výchozích zásad brány firewall pro pracovní stanici Fedora a server Fedora?

Mám zájem v aktuální verzi Fedora 28.

Odpověď

Podívejte se na výchozí definice zón v /usr/lib/firewalld/zones/ a porovnejte je s /usr/lib/firewalld/services/.

FedoraWorkstation.xml

Nevyžádané příchozí síťové pakety jsou odmítnuty z portu 1 až 1024, s výjimkou vybraných síťových služeb. Přijímají se příchozí pakety související s odchozím síťovým připojením. Odchozí síťová připojení jsou povolena. 

 <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>

FedoraServer.xml

Pro použití ve veřejných prostorách. Nedůvěřujete ostatním počítačům v sítích, aby nepoškodily váš počítač. Přijaty jsou pouze vybrané příchozí připojení. 

 <service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->

(„kokpit“ je implementován jako webový server běžící na TCP port 9090. Používá HTTPS a ověřování pomocí hesla. Existuje také alternativní možnost použít ověřování pomocí SSH a SSH klíče).

Umožňuje to MDNS / avahi?

Toto je mírně matoucí, když se podíváte na balíček. Balíček obsahuje opravu, která ve výchozím nastavení povoluje MDNS, ale nedotýká se ani jednoho z těchto souborů. MDNS však bude povolen na pracovní stanici Fedora. Standardní port MDNS je 5353, což je „vysoký port“, který umožňuje pracovní stanice Fedora (1025-65535).

Oprava MDNS předchází FedoraWorkstation.xml a FedoraServer.xml ve Fedoře 21 (09.12.2014). Toto bylo první vydání Fedory, které bylo rozděleno na edice Workstation a Server. Ve Fedoře 20 byla výchozí definice zóny public.xml a umožňovala MDNS.

Fedora 21 a její pracovní stanice firewall – LWN.net, 17. 12. 2014

https://src.fedoraproject.org/rpms/firewalld/tree/f28

Datum: pondělí, 6. srpna 2012 10:01:09 +0200
Předmět: [PATCH] Zajistěte, aby MDNS fungovala ve všech, ale nejvíc omezující zóny

  • MDNS je protokol zjišťování a podobně jako DNS nebo DHCP by měl být
    k dispozici, aby síť fungovala podle očekávání.

  • Implementace Avahi (hlavní MDNS) podnikla kroky k zajištění

    ve výchozím nastavení nejsou publikovány žádné soukromé informace.

  • Viz: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault

Komentáře

  • Pro mě (FC 29) je adresář / etc / firewalld (končí d).
  • @YaroslavNikitenko wups. Díky za opravu.
  • Také výchozí zóny jsou v /usr/lib/firewalld/zones

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *