Quais conexões TCP e UDP de entrada são permitidas, pela política de firewall padrão da Estação de Trabalho Fedora e Servidor Fedora?

Estou interessado na versão atual, Fedora 28.

Resposta

Veja as definições de zona padrão em /usr/lib/firewalld/zones/ e cruze a referência deles com /usr/lib/firewalld/services/.

FedoraWorkstation.xml

Os pacotes de rede recebidos não solicitados são rejeitados da porta 1 a 1024, exceto para alguns serviços de rede. Os pacotes de entrada relacionados a conexões de rede de saída são aceitos. Conexões de rede de saída são permitidas. 

 <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>

FedoraServer.xml

Para uso em áreas públicas. Você não confia nos outros computadores em redes para não danificar seu computador. Somente conexões de entrada selecionadas são aceitas. 

 <service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->

(“cockpit” é implementado como um servidor web em execução Porta TCP 9090. Ela usa HTTPS e autenticação de senha. Há uma opção alternativa para usar a autenticação de chave SSH e SSH também).

Ela permite MDNS / avahi?

Isso é um pouco confuso quando você olha para o pacote. O pacote inclui um patch para ativar o MDNS por padrão, mas não altera nenhum desses arquivos. No entanto, o MDNS será permitido na estação de trabalho Fedora. A porta MDNS padrão é 5353, que está nas “portas altas” que a estação de trabalho Fedora permite (1025-65535).

O patch MDNS é anterior a FedoraWorkstation.xml e FedoraServer.xml no Fedora 21 (09/12/2014). Este foi o primeiro lançamento do Fedora a ser dividido em edições Workstation e Server. No Fedora 20, a definição de zona padrão era public.xml e permitia MDNS.

Fedora 21 e sua estação de trabalho firewall – LWN.net, 17/12/2014

https://src.fedoraproject.org/rpms/firewalld/tree/f28

Data: Seg, 6 de agosto de 2012 10:01:09 +0200
Assunto: [PATCH] Faça o MDNS funcionar em todos, exceto na maioria zonas restritivas

  • MDNS é um protocolo de descoberta e, assim como DNS ou DHCP, deve
    estar disponível para que a rede funcione conforme o esperado.

  • A implementação do Avahi (o MDNS principal) tomou medidas para garantir que
    nenhuma informação privada seja publicada por padrão.

  • Veja: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault

Comentários

  • Para mim (FC 29) o diretório é / etc / firewalld (termina em d).
  • @YaroslavNikitenko wups. Obrigado pela correção.
  • Além disso, as zonas padrão estão em /usr/lib/firewalld/zones

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *