Hvilke innkommende TCP- og UDP-tilkoblinger er tillatt i henhold til standard brannmurpolicy for Fedora Workstation og Fedora Server?

Jeg er interessert i gjeldende versjon, Fedora 28.

Svar

Se på standard sonedefinisjonene i /usr/lib/firewalld/zones/, og kryssreferanse dem mot /usr/lib/firewalld/services/.

FedoraWorkstation.xml

Uønskede innkommende nettverkspakker blir avvist fra port 1 til 1024, bortsett fra utvalgte nettverkstjenester. Innkommende pakker som er relatert til utgående nettverkstilkoblinger godtas. Utgående nettverkstilkoblinger er tillatt. 

 <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>

FedoraServer.xml

For bruk i offentlige områder. Du stoler ikke på at de andre datamaskinene i nettverk ikke skader datamaskinen din. Bare valgte innkommende forbindelser godtas. 

 <service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->

(«cockpit» er implementert som en webserver som kjører på TCP-port 9090. Den bruker HTTPS og passordgodkjenning. Det er et alternativ å bruke SSH- og SSH-nøkkelgodkjenning også.

Tillater det MDNS / avahi?

Dette er litt forvirrende når du ser på pakken. Pakken inneholder en oppdatering for å aktivere MDNS som standard, men den berører ikke noen av disse filene. MDNS vil likevel være tillatt på Fedora Workstation. Standard MDNS-porten er 5353, som er i «høye porter» som Fedora Workstation tillater (1025-65535).

MDNS-oppdateringen forgår FedoraWorkstation.xml og FedoraServer.xml i Fedora 21 (2014-12-09). Dette var den første utgivelsen av Fedora som ble delt inn i Workstation og Server-utgaver. I Fedora 20 var standardsonedefinisjonen public.xml og det tillot MDNS.

Fedora 21 og arbeidsstasjonen brannmur – LWN.net, 2014-12-17

https://src.fedoraproject.org/rpms/firewalld/tree/f28

Dato: Man, 6 Aug 2012 10:01:09 +0200
Subject: [PATCH] Få MDNS til å fungere i alle, men mest restriktive soner

  • MDNS er en oppdagelsesprotokoll, og omtrent DNS eller DHCP bør
    være tilgjengelig for at nettverket skal fungere som forventet.

  • Avahi (den viktigste MDNS) -implementeringen har tatt skritt for å sikre at ingen privat informasjon blir publisert som standard.

  • Se: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault

Kommentarer

  • For meg (FC 29) er katalogen / etc / firewalld (slutter på d).
  • @YaroslavNikitenko wups. Takk for rettelsen.
  • Standardsonene er også i /usr/lib/firewalld/zones

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *