Jakie przychodzące połączenia TCP i UDP są dozwolone przez domyślne zasady zapory sieciowej Fedora Workstation i Fedora Server?

Jestem zainteresowany w aktualnej wersji Fedora 28.

Odpowiedź

Spójrz na domyślne definicje stref w /usr/lib/firewalld/zones/ i porównaj je z /usr/lib/firewalld/services/.

FedoraWorkstation.xml

Niechciane przychodzące pakiety sieciowe są odrzucane z portów od 1 do 1024, z wyjątkiem wybranych usług sieciowych. Pakiety przychodzące, które są związane z wychodzącymi połączeniami sieciowymi, są akceptowane. Wychodzące połączenia sieciowe są dozwolone. 

 <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>

FedoraServer.xml

Do użytku w miejscach publicznych. Nie ufasz, że inne komputery w sieci nie szkodzą Twojemu komputerowi. Akceptowane są tylko wybrane połączenia przychodzące. 

 <service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->

(„kokpit” jest zaimplementowany jako serwer WWW działający na Port TCP 9090. Używa uwierzytelniania HTTPS i hasła. Istnieje również alternatywna opcja uwierzytelniania za pomocą kluczy SSH i SSH).

Czy zezwala na MDNS / avahi?

To jest nieco zagmatwane, gdy patrzysz na opakowanie. Pakiet zawiera poprawkę, która domyślnie włącza MDNS, ale nie dotyka żadnego z tych plików. Niemniej jednak MDNS będzie dozwolony na Fedorze Workstation. Standardowy port MDNS to 5353, który znajduje się w „wysokich portach”, na które pozwala Fedora Workstation (1025-65535).

Poprawka MDNS jest wcześniejsza niż FedoraWorkstation.xml i FedoraServer.xml w Fedorze 21 (09.12.2014). Było to pierwsze wydanie Fedory, które zostało podzielone na wersje Workstation i Server. W Fedorze 20 domyślną definicją strefy było public.xml i zezwalała na MDNS.

Fedora 21 i jej stacja robocza firewall – LWN.net, 17.12.2014

https://src.fedoraproject.org/rpms/firewalld/tree/f28

Data: Pon., 6 sierpnia 2012 r. 10:01:09 +0200
Temat: [PATCH] Spraw, aby MDNS działało we wszystkich z wyjątkiem większości strefy restrykcyjne

  • MDNS jest protokołem wykrywania i podobnie jak DNS czy DHCP powinien
    być dostępny, aby sieć działała zgodnie z oczekiwaniami.

  • Avahi (główna implementacja MDNS) podjęła kroki, aby upewnić się, że
    żadne prywatne informacje nie są publikowane domyślnie.

  • Patrz: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault

Komentarze

  • Dla mnie (FC 29) katalog to / etc / firewalld (kończy się d).
  • @YaroslavNikitenko wups. Dzięki za poprawkę.
  • Również domyślne strefy znajdują się w /usr/lib/firewalld/zones

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *