Quali connessioni TCP e UDP in entrata sono consentite dalla politica firewall predefinita di Fedora Workstation e Fedora Server?

Sono interessato nella versione corrente, Fedora 28.

Risposta

Guarda le definizioni di zona predefinite in /usr/lib/firewalld/zones/ e confrontali con /usr/lib/firewalld/services/.

FedoraWorkstation.xml

I pacchetti di rete in entrata non richiesti vengono rifiutati dalla porta da 1 a 1024, ad eccezione di determinati servizi di rete. I pacchetti in entrata relativi alle connessioni di rete in uscita vengono accettati. Le connessioni di rete in uscita sono consentite. 

 <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>

FedoraServer.xml

Da utilizzare in aree pubbliche. Non ti fidi degli altri computer sulle reti per non danneggiare il tuo computer. Sono accettate solo le connessioni in entrata selezionate. 

 <service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->

(“cockpit” è implementato come un server web in esecuzione su Porta TCP 9090. Utilizza HTTPS e lautenticazione della password. Esiste unopzione alternativa per utilizzare anche lautenticazione con chiave SSH e SSH).

Permette MDNS / avahi?

Questo è leggermente confuso quando guardi il pacchetto. Il pacchetto include una patch per abilitare MDNS per impostazione predefinita, ma non tocca nessuno di questi file. Tuttavia, MDNS sarà consentito su Fedora Workstation. La porta MDNS standard è 5353, che è nelle “porte alte” consentite da Fedora Workstation (1025-65535).

La patch MDNS è precedente a FedoraWorkstation.xml e FedoraServer.xml in Fedora 21 (2014-12-09). Questa è stata la prima versione di Fedora ad essere suddivisa in edizioni Workstation e Server. In Fedora 20, la definizione di zona predefinita era public.xml e consentiva MDNS.

Fedora 21 e la sua workstation firewall – LWN.net, 17/12/2014

https://src.fedoraproject.org/rpms/firewalld/tree/f28

Data: lunedì, 6 agosto 2012 10:01:09 +0200
Oggetto: [PATCH] Fai funzionare MDNS in tutti tranne quelli zone restrittive

  • MDNS è un protocollo di rilevamento e, molto simile a DNS o DHCP, dovrebbe essere disponibile affinché la rete funzioni come previsto.

  • Limplementazione di Avahi (il principale MDNS) ha adottato misure per assicurarsi che
    nessuna informazione privata venga pubblicata per impostazione predefinita.

  • Vedi: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault

Commenti

  • Per me (FC 29) la directory è / etc / firewalld (finisce su d).
  • @YaroslavNikitenko wups. Grazie per la correzione.
  • Anche le zone predefinite sono in /usr/lib/firewalld/zones

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *