Mitkä saapuvat TCP- ja UDP-yhteydet ovat sallittuja Fedora Workstationin ja Fedora Serverin oletuspalomuurikäytännön mukaan?
Olen kiinnostunut nykyisessä versiossa Fedora 28.
Vastaa
Katso oletusvyöhykemääritelmät kohdasta /usr/lib/firewalld/zones/ ja viittaa niihin /usr/lib/firewalld/services/.
FedoraWorkstation.xml
Ei-toivotut saapuvat verkkopaketit hylätään portista 1-1024, paitsi tiettyjä verkkopalveluja. Lähtevät verkkoyhteyksiin liittyvät saapuvat paketit hyväksytään. Lähtevät verkkoyhteydet ovat sallittuja.
<service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/> FedoraServer.xml
Käytetään julkisissa tiloissa. Et luota siihen, että muut verkon tietokoneet vahingoittavat tietokonettasi. Vain valitut saapuvat yhteydet hyväksytään.
<service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 --> (”ohjaamo” toteutetaan verkkopalvelimena, joka toimii TCP-portti 9090. Se käyttää HTTPS- ja salasanatodennusta. On myös vaihtoehtoinen vaihtoehto käyttää SSH- ja SSH-avaintodennusta).
Sallitseeko se MDNS / avahin?
Tämä on hieman hämmentävä, kun katsot pakkausta. Paketti sisältää korjaustiedoston MDNS: n ottamiseksi käyttöön oletuksena, mutta se ei koske kumpaakaan näistä tiedostoista. Siitä huolimatta MDNS sallitaan Fedora-työasemalle. Tavallinen MDNS-portti on 5353, joka on ”korkeassa portissa”, jonka Fedora Workstation sallii (1025-65535).
MDNS-korjaustiedosto on päivätty ennen FedoraWorkstation.xml ja FedoraServer.xml Fedora 21: ssä (2014-12-09). Tämä oli Fedoran ensimmäinen julkaisu, joka jaettiin Workstation- ja Server-versioihin. Fedora 20: ssä oletusalueen määritys oli public.xml ja se salli MDNS: n.
Fedora 21 ja sen työasema palomuuri – LWN.net, 2014-12-17
https://src.fedoraproject.org/rpms/firewalld/tree/f28
Päivämäärä: ma, 6. elokuuta 2012 10:01:09 +0200
Aihe: [PATCH] Saada MDNS toimimaan kaikessa muussa paitsi rajoittavat vyöhykkeet
MDNS on löytöprotokolla, ja DNS: n tai DHCP: n tavoin pitäisi olla käytettävissä verkon toimiakseen odotetulla tavalla.
Avahi (tärkein MDNS) -toteutus on varmistanut, ettei yksityisiä tietoja ole julkaistu oletuksena.
Katso: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault
/usr/lib/firewalld/zones