Welke inkomende TCP- en UDP-verbindingen zijn toegestaan volgens het standaard firewallbeleid van Fedora Workstation en Fedora Server?

Ik ben geïnteresseerd in de huidige versie, Fedora 28.

Answer

Kijk naar de standaard zonedefinities in /usr/lib/firewalld/zones/, en kruisverwijzingen ze met /usr/lib/firewalld/services/.

FedoraWorkstation.xml

Ongevraagde inkomende netwerkpakketten worden geweigerd van poort 1 tot 1024, behalve voor bepaalde netwerkservices. Inkomende pakketten die betrekking hebben op uitgaande netwerkverbindingen, worden geaccepteerd. Uitgaande netwerkverbindingen zijn toegestaan. 

 <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>

FedoraServer.xml

Voor gebruik in openbare ruimtes. U vertrouwt er niet op dat de andere computers op netwerken uw computer niet beschadigen. Alleen geselecteerde inkomende verbindingen worden geaccepteerd. 

 <service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->

(“cockpit” is geïmplementeerd als een webserver die draait op TCP-poort 9090. Het maakt gebruik van HTTPS en wachtwoordverificatie. Er is een alternatieve optie om ook SSH- en SSH-sleutelverificatie te gebruiken).

Staat het MDNS / avahi toe?

Dit is enigszins verwarrend als je naar het pakket kijkt. Het pakket bevat een patch om MDNS standaard in te schakelen, maar het raakt geen van deze bestanden. Niettemin is MDNS toegestaan op Fedora Workstation. De standaard MDNS-poort is 5353, wat zich in de “hoge poorten” bevindt die Fedora Workstation toestaat (1025-65535).

De MDNS-patch dateert van vóór FedoraWorkstation.xml en FedoraServer.xml in Fedora 21 (2014-12-09). Dit was de eerste uitgave van Fedora die werd opgesplitst in Workstation- en Server-edities. In Fedora 20 was de standaard zonedefinitie public.xml en het stond MDNS toe.

Fedora 21 en zijn werkstation firewall – LWN.net, 17-12-2014

https://src.fedoraproject.org/rpms/firewalld/tree/f28

Datum: ma, 6 aug. 2012 10:01:09 +0200
Onderwerp: [PATCH] Laat MDNS werken in alle, behalve de meeste beperkende zones

  • MDNS is een detectieprotocol, en net als DNS of DHCP moet het
    beschikbaar zijn om het netwerk te laten functioneren zoals verwacht.

  • De implementatie van Avahi (de belangrijkste MDNS) heeft stappen ondernomen om ervoor te zorgen dat
    standaard geen privé-informatie wordt gepubliceerd.

  • Zie: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault

Opmerkingen

  • Voor mij (FC 29) is de map / etc / firewalld (eindigt op d).
  • @YaroslavNikitenko wups. Bedankt voor de correctie.
  • Ook de standaardzones zijn in /usr/lib/firewalld/zones

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *