Milyen bejövő TCP és UDP kapcsolatokat engedélyez a Fedora Workstation és a Fedora Server alapértelmezett tűzfalszabályzata?

Érdekel a jelenlegi verzióban, a Fedora 28.

Válasz

Nézze meg az alapértelmezett zónadefiníciókat a /usr/lib/firewalld/zones/, és keresse meg őket egymással az /usr/lib/firewalld/services/.

FedoraWorkstation.xml

A kéretlen bejövő hálózati csomagokat az 1–1024-es portok elutasítják, kivéve a kiválasztott hálózati szolgáltatásokat. A kimenő hálózati kapcsolatokhoz kapcsolódó bejövő csomagokat elfogadjuk. A kimenő hálózati kapcsolatok megengedettek. 

 <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>

FedoraServer.xml

Közterületen történő használatra. Nem bízik abban, hogy a hálózatok többi számítógépe nem károsítja a számítógépet. Csak a kiválasztott bejövő kapcsolatokat fogadjuk el. 

 <service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->

(A “cockpit” webszerverként valósul meg TCP 9090 port. HTTPS és jelszó hitelesítést használ. Van egy alternatív lehetőség az SSH és SSH kulcs hitelesítés használatára is).

Engedélyezi az MDNS / avahi használatát?

Ez az kissé zavaros, amikor a csomagot nézi. A csomag tartalmaz egy javítást az MDNS alapértelmezett engedélyezéséhez, de nem érinti ezeket a fájlokat. Ennek ellenére engedélyezni fogják az MDNS-t a Fedora munkaállomáson. A szokásos MDNS port 5353, amely a Fedora munkaállomás által engedélyezett “magas portokban” található (1025-65535).

Az MDNS javítás előtti dátumok FedoraWorkstation.xml és FedoraServer.xml a Fedora 21-ben (2014-12-09). Ez volt a Fedora első kiadása, amelyet Workstation és Server kiadásokra bontottak. A Fedora 20-ban az alapértelmezett zónadefiníció public.xml volt, és engedélyezte az MDNS-t.

Fedora 21 és annak munkaállomása tűzfal – LWN.net, 2014-12-17

https://src.fedoraproject.org/rpms/firewalld/tree/f28

Dátum: 2012. augusztus 6., hétfő, 10:01:09 +0200
Tárgy: [PATCH] Az MDNS-ek működése a legtöbb kivételével korlátozó zónák

  • Az MDNS egy felfedezési protokoll, és a DNS-hez vagy a DHCP-hez hasonlóan
    elérhetőnek kell lennie, hogy a hálózat az elvárt módon működjön.

  • Az Avahi (a fő MDNS) megvalósítása lépéseket tett annak biztosítására, hogy
    alapértelmezés szerint nincsenek közzétéve privát információk.

  • Lásd: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault

Megjegyzések

  • Számomra (FC 29) a könyvtár az / etc / firewalld (d-re végződik).
  • @YaroslavNikitenko wups. Köszönjük a javítást.
  • Az alapértelmezett zónák a /usr/lib/firewalld/zones

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük