บริการ dhcpv6-client คืออะไรใน firewalld และฉันสามารถลบออกได้อย่างปลอดภัย?

ในCentOS 7เซิร์ฟเวอร์ฉันพิมพ์firewall-cmd --list-allและมันทำให้ฉันต่อไปนี้:

public (default, active)
  interfaces: enp3s0
  sources: 
  services: dhcpv6-client https ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

บริการ dhcpv6-client คืออะไร มันทำอะไร? และความหมายของการลบมันคืออะไร?

ฉันอ่านหน้าวิกิพีเดียสำหรับdhcpv6แต่มันไม่ได้บอกฉันโดยเฉพาะว่าบริการนี้ใช้CentOS 7 Firewalldทำอะไร

เซิร์ฟเวอร์นี้สามารถเข้าถึงได้ผ่านhttpsและemailผ่านmydomain.comแต่เป็นเซิร์ฟเวอร์ส่วนตัวที่สามารถเข้าถึงได้ผ่านhttpsรายการที่ipอยู่ที่รู้จักเท่านั้น นอกจากนี้เซิร์ฟเวอร์นี้สามารถรับอีเมลจากรายการที่อยู่อีเมลที่รู้จัก เป็นdhcpv6-clientบริการที่จำเป็นในการเจรจาต่อรองที่อยู่โดเมนจากที่รู้จักกันip httpsร้องขอและสำหรับการแลกเปลี่ยนอีเมลที่มีที่อยู่อีเมลที่รู้จักกัน?

สิ่งนี้จำเป็นถ้าคุณใช้ DHCP v6 เนื่องจากวิธีที่แตกต่างกันเล็กน้อยที่ DHCP ทำงานใน v4 และ v6

ใน DHCP v4 ไคลเอ็นต์จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์และเนื่องจากกฎเริ่มต้นเพื่ออนุญาตการเชื่อมต่อ 'ที่สร้างขึ้น' ผ่านไฟร์วอลล์การตอบสนอง DHCP ที่ส่งคืนจะได้รับอนุญาตผ่าน

อย่างไรก็ตามใน DHCP v6 คำขอไคลเอนต์เริ่มต้นจะถูกส่งไปยังที่อยู่แบบมัลติคาสต์ที่ได้รับมอบหมายแบบคงที่ในขณะที่การตอบสนองมีที่อยู่ unicast ของเซิร์ฟเวอร์ DHCP เป็นแหล่งที่มา (ดูRFC 3315 ) เนื่องจากแหล่งที่มานั้นแตกต่างจากปลายทางของคำขอเริ่มต้นกฎ 'ที่สร้างขึ้น' จะไม่อนุญาตให้ผ่านและทำให้ DHCP v6 ล้มเหลว

เพื่อต่อสู้กับสิ่งนี้firewalld กฎใหม่ถูกสร้างขึ้นdhcpv6-clientซึ่งเรียกว่าอนุญาตให้ DHCP v6 การตอบสนองขาเข้าส่งผ่าน - นี่คือdhcpv6-clientกฎ หากคุณไม่ได้ใช้ DHCP v6 บนเครือข่ายของคุณหรือคุณใช้การกำหนดที่อยู่ IP แบบคงที่คุณสามารถปิดการใช้งานได้

dhcpv6-client เป็นกระบวนการไคลเอนต์สำหรับ DHCPv6 หากคุณมีที่อยู่ IPv6 แบบคงที่หรือไม่ได้ใช้ IPv6 การปิดใช้งานจะปลอดภัย ดูคำตอบข้อผิดพลาดของเซิร์ฟเวอร์นี้

มุมมองที่แตกต่างกันเล็กน้อย คุณกำลังใช้ firewalld เป็นไฟร์วอลล์โฮสต์ปลายทางที่บล็อกบริการทั้งหมดโดยทั่วไป แต่เลือกบริการเพื่อหลีกเลี่ยงการเผยแพร่บริการโดยไม่ได้ตั้งใจ การใช้ไฟร์วอลล์เพื่อบล็อกบริการที่คุณไม่เคยใช้มาก่อน

ในความคิดของฉันตรรกะที่นี่มีข้อบกพร่อง หากไม่มีโอกาสที่คุณจะเคยใช้การกำหนดค่าที่อยู่อัตโนมัติของ IPv6 ไม่มีเหตุผลที่จะใส่ใจกับไฟร์วอลล์ หากมีโอกาสที่คุณจะต้องการเปิดใช้งานไฟร์วอลล์จะเป็นอันตราย

มีบริการที่คุณสามารถใช้ภายในเครื่องซึ่งคุณสามารถติดตั้งและเริ่มโดยสุจริตว่าพวกเขาฟังเฉพาะที่หรือสามารถเริ่มต้นโดยไม่ได้ตั้งใจ ในกรณีนี้ไฟร์วอลล์ช่วยให้คุณหลีกเลี่ยงการเข้าถึงบริการจากภายนอกเซิร์ฟเวอร์ของคุณ นั่นคือค่าของไฟร์วอลล์บนเซิร์ฟเวอร์ของคุณที่เชื่อมต่อกับอินเทอร์เน็ตไม่ใช่การบล็อกการตอบสนองต่อไคลเอ็นต์ DHCP

โปรดทราบว่ากฎไฟร์วอลล์เพื่ออนุญาตการตอบกลับไปยังแพ็กเก็ตจากไคลเอ็นต์ DHCP เป็นวิธีแก้ปัญหาสำหรับคุณลักษณะเคอร์เนลที่หายไป เคอร์เนลสามารถตรวจจับการตอบกลับ DHCPv4 เช่นการตอบกลับสำหรับการสื่อสารประเภทอื่น ๆ แต่มันไม่สามารถ (หรือไม่สามารถในเวลาที่ตัดสินใจรวมกฎไฟร์วอลล์) ทำเช่นเดียวกันสำหรับ DHCPv6