FedoraWorkstationおよびFedoraServerのデフォルトのファイアウォールポリシーによって許可される着信TCPおよびUDP接続は何ですか?
興味があります。現在のバージョンでは、Fedora28です。
回答
/usr/lib/firewalld/zones/、/usr/lib/firewalld/services/に対して相互参照します。
FedoraWorkstation.xml
一部のネットワークサービスを除いて、一方的な着信ネットワークパケットはポート1から1024まで拒否されます。発信ネットワーク接続に関連する着信パケットが受け入れられます。発信ネットワーク接続が許可されます。
<service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/> FedoraServer.xml
公共エリアで使用します。ネットワーク上の他のコンピューターを信頼して、コンピューターに害を及ぼさないようにします。選択した着信接続のみが受け入れられます。
<service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 --> ( “コックピット”は、で実行されているWebサーバーとして実装されます。 TCPポート9090。HTTPSとパスワード認証を使用します。SSHとSSHキー認証を使用する代替オプションもあります。
MDNS / avahiを許可しますか?
これはパッケージを見ると少し混乱します。パッケージには、デフォルトでMDNSを有効にするパッチが含まれていますが、これらのファイルのいずれにもアクセスしません。それでも、MDNSはFedoraワークステーションで許可されます。標準のMDNSポートは5353で、Fedora Workstationが許可する「高ポート」(1025-65535)にあります。
MDNSパッチはFedoraWorkstation.xmlより前のものです。およびFedora21(2014-12-09)のFedoraServer.xml。これは、ワークステーション版とサーバー版に分割されたFedoraの最初のリリースでした。 Fedora 20では、デフォルトのゾーン定義はpublic.xmlであり、MDNSを許可していました。
Fedora21とそのワークステーションファイアウォール -LWN.net、2014-12-17
https://src.fedoraproject.org/rpms/firewalld/tree/f28
日付:2012年8月6日月曜日10:01:09 +0200
件名:[PATCH] MDNSをほとんどの場合を除いて機能させる制限ゾーン
MDNSは検出プロトコルであり、DNSやDHCPと同様に、ネットワークが期待どおりに機能するために
利用できる必要があります。Avahi(メインのMDNS)実装は、
デフォルトで個人情報が公開されないようにするための措置を講じています。参照: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault
コメント
にあります。
/usr/lib/firewalld/zones