Hvilke indkommende TCP- og UDP-forbindelser er tilladt i henhold til standard firewallpolitikken for Fedora Workstation og Fedora Server?
Jeg er interesseret i den nuværende version, Fedora 28.
Svar
Se på standardzonedefinitionerne i /usr/lib/firewalld/zones/
, og krydshenvis dem mod /usr/lib/firewalld/services/
.
FedoraWorkstation.xml
Uopfordrede indgående netværkspakker afvises fra port 1 til 1024 bortset fra udvalgte netværkstjenester. Indgående pakker, der er relateret til udgående netværksforbindelser, accepteres. Udgående netværksforbindelser er tilladt.
<service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>
FedoraServer.xml
Til brug i offentlige områder. Du stoler ikke på, at de andre computere på netværk ikke skader din computer. Kun valgte indgående forbindelser accepteres.
<service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->
(“cockpit” er implementeret som en webserver, der kører på TCP-port 9090. Den bruger HTTPS- og adgangskodeautentificering. Der er også en alternativ mulighed for at bruge SSH- og SSH-nøgeautentificering).
Tillader det MDNS / avahi?
Dette er lidt forvirrende, når du ser på pakken. Pakken indeholder en patch, der aktiverer MDNS som standard, men den berører ikke nogen af disse filer. Ikke desto mindre er MDNS tilladt på Fedora Workstation. Standard MDNS-porten er 5353, som er i de “høje porte”, som Fedora Workstation tillader (1025-65535).
MDNS-patchen forudindstiller FedoraWorkstation.xml
og FedoraServer.xml
i Fedora 21 (2014-12-09). Dette var den første udgivelse af Fedora, der blev opdelt i Workstation- og Server-udgaver. I Fedora 20 var standardzonedefinitionen public.xml
, og det tillod MDNS.
Fedora 21 og dens arbejdsstation firewall – LWN.net, 2014-12-17
https://src.fedoraproject.org/rpms/firewalld/tree/f28
Dato: Man, 6. aug 2012 10:01:09 +0200
Emne: [PATCH] Få MDNS til at fungere i alt undtagen det mest restriktive zoner
MDNS er en opdagelsesprotokol, og meget ligesom DNS eller DHCP bør
være tilgængelig for netværket til at fungere som forventet.Avahi (den vigtigste MDNS) -implementering har taget skridt til at sikre, at ingen private oplysninger offentliggøres som standard.
Se: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault
/usr/lib/firewalld/zones