Quelles connexions TCP et UDP entrantes sont autorisées, par la politique de pare-feu par défaut de Fedora Workstation et Fedora Server?

Je suis intéressé dans la version actuelle, Fedora 28.

Réponse

Regardez les définitions de zone par défaut dans /usr/lib/firewalld/zones/, et les renvoyer à /usr/lib/firewalld/services/.

FedoraWorkstation.xml

Les paquets réseau entrants non sollicités sont rejetés du port 1 à 1024, sauf pour certains services réseau. Les paquets entrants liés aux connexions réseau sortantes sont acceptés. Les connexions réseau sortantes sont autorisées. 

 <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>

FedoraServer.xml

À utiliser dans les espaces publics. Vous ne faites pas confiance aux autres ordinateurs des réseaux pour ne pas endommager votre ordinateur. Seules les connexions entrantes sélectionnées sont acceptées. 

 <service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->

(« cockpit » est implémenté en tant que serveur Web fonctionnant sur Port TCP 9090. Il utilise HTTPS et lauthentification par mot de passe. Il existe une autre option pour utiliser lauthentification par clé SSH et SSH également.

Est-ce quil autorise MDNS / avahi?

Cest légèrement déroutant lorsque vous regardez le paquet. Le package comprend un correctif pour activer MDNS par défaut, mais il ne touche aucun de ces fichiers. Néanmoins, MDNS sera autorisé sur Fedora Workstation. Le port MDNS standard est 5353, qui se trouve dans les « ports élevés » que Fedora Workstation autorise (1025-65535).

Le correctif MDNS est antérieur à FedoraWorkstation.xml et FedoraServer.xml dans Fedora 21 (09/12/2014). Il sagissait de la première version de Fedora à être divisée en éditions Workstation et Server. Dans Fedora 20, la définition de zone par défaut était public.xml et autorisait MDNS.

Fedora 21 et sa station de travail pare-feu – LWN.net, 17/12/2014

https://src.fedoraproject.org/rpms/firewalld/tree/f28

Date: Lun, 6 août 2012 10:01:09 +0200
Objet: [PATCH] Faire fonctionner MDNS dans tous, sauf dans la plupart zones restrictives

  • MDNS est un protocole de découverte, et tout comme DNS ou DHCP devrait
    être disponible pour que le réseau fonctionne comme prévu.

  • Limplémentation dAvahi (le principal MDNS) a pris des mesures pour sassurer quaucune information privée nest publiée par défaut.

  • Voir: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault

Commentaires

  • Pour moi (FC 29), le répertoire est / etc / firewalld (se termine le d).
  • @YaroslavNikitenko wups. Merci pour la correction.
  • Les zones par défaut se trouvent également dans /usr/lib/firewalld/zones

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *