Ce conexiuni TCP și UDP primite sunt permise, prin politica de firewall implicită a Fedora Workstation și Fedora Server?

Sunt interesat în versiunea curentă, Fedora 28.

Răspuns

Uită-te la definițiile zonei implicite din /usr/lib/firewalld/zones/ și încrucișați-le cu /usr/lib/firewalld/services/.

FedoraWorkstation.xml

Pachetele de rețea primite nesolicitate sunt respinse de la portul 1 până la 1024, cu excepția anumitor servicii de rețea. Pachetele primite care sunt legate de conexiunile de rețea de ieșire sunt acceptate. Conexiunile de rețea de ieșire sunt permise. 

 <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>

FedoraServer.xml

Pentru utilizare în zonele publice. Nu aveți încredere în celelalte computere din rețele pentru a nu vă afecta computerul. Sunt acceptate numai conexiunile de intrare selectate. 

 <service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->

(„cockpit” este implementat ca un server web care rulează pe Portul TCP 9090. Folosește autentificarea HTTPS și parola. Există o opțiune alternativă de a utiliza și autentificarea cu cheie SSH și SSH).

Permite MDNS / avahi?

Acesta este ușor confuz când privești pachetul. Pachetul include un patch pentru a activa MDNS în mod implicit, dar nu atinge niciunul dintre aceste fișiere. Cu toate acestea, MDNS va fi permis pe Fedora Workstation. Portul MDNS standard este 5353, care se află în „porturile înalte” pe care le permite Fedora Workstation (1025-65535).

Patch-ul MDNS este anterior FedoraWorkstation.xml și FedoraServer.xml în Fedora 21 (09.12.2014). Aceasta a fost prima versiune a Fedora care a fost împărțită în edițiile Workstation și Server. În Fedora 20, definiția zonei implicite a fost public.xml și a permis MDNS.

Fedora 21 și stația sa de lucru firewall – LWN.net, 17.12.2014

https://src.fedoraproject.org/rpms/firewalld/tree/f28

Data: Luni, 6 Aug 2012 10:01:09 +0200
Subiect: [PATCH] Faceți MDNS să funcționeze în toate, cu excepția celor mai bune zone restrictive

  • MDNS este un protocol de descoperire și, la fel ca DNS sau DHCP, ar trebui să fie disponibile pentru ca rețeaua să funcționeze conform așteptărilor.

  • Implementarea Avahi (principalul MDNS) a luat măsuri pentru a se asigura că
    nu sunt publicate în mod implicit informații private.

  • Vezi: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault

Comentarii

  • Pentru mine (FC 29) directorul este / etc / firewalld (se termină pe d).
  • @YaroslavNikitenko wups. Vă mulțumim pentru corectare.
  • De asemenea, zonele implicite sunt în /usr/lib/firewalld/zones

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *