Vilka inkommande TCP- och UDP-anslutningar är tillåtna enligt standard brandväggspolicy för Fedora Workstation och Fedora Server?
Jag är intresserad i den aktuella versionen, Fedora 28.
Svar
Titta på standardzondefinitionerna i /usr/lib/firewalld/zones/
och korsreferens mot /usr/lib/firewalld/services/
.
FedoraWorkstation.xml
Oönskade inkommande nätverkspaket avvisas från port 1 till 1024, med undantag för utvalda nättjänster. Inkommande paket som är relaterade till utgående nätverksanslutningar accepteras. Utgående nätverksanslutningar är tillåtna.
<service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>
FedoraServer.xml
För användning i allmänna utrymmen. Du litar inte på att andra datorer i nätverk inte skadar din dator. Endast valda inkommande anslutningar accepteras.
<service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->
(”cockpit” implementeras som en webbserver som körs på TCP-port 9090. Den använder HTTPS och lösenordsautentisering. Det finns ett alternativ att använda SSH och SSH-nyckelautentisering också.
Tillåter det MDNS / avahi?
Detta är lite förvirrande när du tittar på paketet. Paketet innehåller en korrigering för att aktivera MDNS som standard, men den rör inte någon av dessa filer. Ändå kommer MDNS att tillåtas på Fedora Workstation. Standard-MDNS-porten är 5353, som finns i de ”höga portarna” som Fedora Workstation tillåter (1025-65535).
MDNS-korrigeringsdatumet förföljer FedoraWorkstation.xml
och FedoraServer.xml
i Fedora 21 (2014-12-09). Detta var den första versionen av Fedora som delades upp i Workstation- och Server-utgåvor. I Fedora 20 var standardzondefinitionen public.xml
och det tillät MDNS.
Fedora 21 och dess arbetsstation brandvägg – LWN.net, 2014-12-17
https://src.fedoraproject.org/rpms/firewalld/tree/f28
Datum: må 6 aug 2012 10:01:09 +0200
Ämne: [PATCH] Få MDNS att fungera i alla utom de mest restriktiva zoner
MDNS är ett upptäcktsprotokoll, och ungefär som DNS eller DHCP borde
vara tillgängligt för att nätverket ska fungera som förväntat.Avahi (huvud MDNS) -implementeringen har vidtagit åtgärder för att se till att ingen privat information publiceras som standard.
Se: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault
/usr/lib/firewalld/zones