Welche eingehenden TCP- und UDP-Verbindungen sind gemäß der Standard-Firewall-Richtlinie von Fedora Workstation und Fedora Server zulässig?

Ich bin interessiert in der aktuellen Version Fedora 28.

Antwort

Sehen Sie sich die Standardzonendefinitionen in /usr/lib/firewalld/zones/ und vergleichen Sie sie mit /usr/lib/firewalld/services/.

FedoraWorkstation.xml

Unaufgeforderte eingehende Netzwerkpakete werden von Port 1 bis 1024 zurückgewiesen, mit Ausnahme ausgewählter Netzwerkdienste. Eingehende Pakete, die sich auf ausgehende Netzwerkverbindungen beziehen, werden akzeptiert. Ausgehende Netzwerkverbindungen sind zulässig. 

 <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="ssh"/> <!-- tcp 22 --> <service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns --> <port protocol="udp" port="1025-65535"/> <port protocol="tcp" port="1025-65535"/>

FedoraServer.xml

Zur Verwendung in öffentlichen Bereichen. Sie vertrauen nicht darauf, dass die anderen Computer in Netzwerken Ihren Computer nicht beschädigen. Es werden nur ausgewählte eingehende Verbindungen akzeptiert. 

 <service name="ssh"/> <!-- tcp 22 --> <service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only --> <service name="cockpit"/> <!-- tcp 9090 -->

(„cockpit“ ist als Webserver implementiert, auf dem ausgeführt wird TCP-Port 9090. Es verwendet HTTPS- und Kennwortauthentifizierung. Es gibt eine alternative Option zur Verwendung der SSH- und SSH-Schlüsselauthentifizierung.

Ermöglicht es MDNS / Avahi?

Dies ist etwas verwirrend, wenn man sich das Paket ansieht. Das Paket enthält einen Patch zum standardmäßigen Aktivieren von MDNS, berührt jedoch keine dieser Dateien. Trotzdem wird MDNS auf Fedora Workstation zugelassen. Der Standard-MDNS-Port ist 5353, der sich in den von Fedora Workstation zugelassenen „High-Ports“ befindet (1025-65535).

Der MDNS-Patch datiert FedoraWorkstation.xml vor und FedoraServer.xml in Fedora 21 (09.12.2014). Dies war die erste Version von Fedora, die in Workstation- und Server-Editionen aufgeteilt wurde. In Fedora 20 war die Standardzonendefinition public.xml und erlaubte MDNS.

Fedora 21 und seine Workstation Firewall – LWN.net, 17.12.2014

https://src.fedoraproject.org/rpms/firewalld/tree/f28

Datum: Montag, 6. August 2012, 10:01:09 Uhr +0200
Betreff: [PATCH] MDNS funktioniert in allen außer den meisten restriktive Zonen

  • MDNS ist ein Erkennungsprotokoll und sollte ähnlich wie DNS oder DHCP verfügbar sein, damit das Netzwerk wie erwartet funktioniert.

  • Die Implementierung von Avahi (der Haupt-MDNS) hat Schritte unternommen, um sicherzustellen, dass
    standardmäßig keine privaten Informationen veröffentlicht werden.

  • Siehe: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault

Kommentare

  • Für mich (FC 29) ist das Verzeichnis / etc / firewalld (endet mit d).
  • @YaroslavNikitenko wups. Vielen Dank für die Korrektur.
  • Auch die Standardzonen befinden sich in /usr/lib/firewalld/zones

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.