¿Qué conexiones TCP y UDP entrantes están permitidas, por la política de firewall predeterminada de Fedora Workstation y Fedora Server?

Estoy interesado en la versión actual, Fedora 28.

Respuesta

Mire las definiciones de zona predeterminadas en /usr/lib/firewalld/zones/ y compararlos con /usr/lib/firewalld/services/.

FedoraWorkstation.xml

Los paquetes de red entrantes no solicitados se rechazan del puerto 1 al 1024, excepto para determinados servicios de red. Se aceptan los paquetes entrantes relacionados con las conexiones de red salientes. Se permiten conexiones de red salientes. 

 <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>

FedoraServer.xml

Para uso en áreas públicas. No confía en las otras computadoras en las redes para no dañar su computadora. Solo se aceptan las conexiones entrantes seleccionadas. 

 <service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->

(«cockpit» se implementa como un servidor web que se ejecuta en Puerto TCP 9090. Utiliza HTTPS y autenticación de contraseña. Hay una opción alternativa para usar SSH y autenticación de clave SSH también).

¿Permite MDNS / avahi?

Esto es un poco confuso cuando miras el paquete. El paquete incluye un parche para habilitar MDNS de forma predeterminada, pero no toca ninguno de estos archivos. No obstante, se permitirá MDNS en Fedora Workstation. El puerto MDNS estándar es 5353, que está en los «puertos altos» que permite Fedora Workstation (1025-65535).

El parche MDNS es anterior a FedoraWorkstation.xml y FedoraServer.xml en Fedora 21 (09/12/2014). Esta fue la primera versión de Fedora que se dividió en las ediciones Workstation y Server. En Fedora 20, la definición de zona predeterminada era public.xml y permitía MDNS.

Fedora 21 y su estación de trabajo firewall – LWN.net, 2014-12-17

https://src.fedoraproject.org/rpms/firewalld/tree/f28

Fecha: lunes, 6 de agosto de 2012 10:01:09 +0200
Asunto: [PATCH] Hacer que MDNS funcione en todos menos en la mayoría zonas restrictivas

  • MDNS es un protocolo de descubrimiento y, al igual que DNS o DHCP, debería
    estar disponible para que la red funcione como se espera.

  • La implementación de Avahi (el principal MDNS) ha tomado medidas para asegurarse de que no se publique información privada de forma predeterminada.

  • Consulte: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault

Comentarios

  • Para mí (FC 29) el directorio es / etc / firewalld (termina en d).
  • @YaroslavNikitenko wups. Gracias por la corrección.
  • Además, las zonas predeterminadas están en /usr/lib/firewalld/zones

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *