Fedora 工作站和 Fedora 服务器的默认防火墙策略允许哪些传入 TCP 和 UDP 连接?
我对当前版本 Fedora 28 感兴趣。
答案1
查看 中的默认区域定义/usr/lib/firewalld/zones/,并将它们与 进行交叉引用/usr/lib/firewalld/services/。
FedoraWorkstation.xml
端口 1 到 1024 上未经请求的传入网络数据包将被拒绝,选定的网络服务除外。接受与传出网络连接相关的传入数据包。允许传出网络连接。
<service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only -->
<service name="ssh"/> <!-- tcp 22 -->
<service name="samba-client"/> <!-- udp 137,138, plus nf_conntrack_netbios_ns -->
<port protocol="udp" port="1025-65535"/>
<port protocol="tcp" port="1025-65535"/>
FedoraServer.xml
用于公共区域。您不相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。
<service name="ssh"/> <!-- tcp 22 -->
<service name="dhcpv6-client"/> <!-- udp 546 from fe80::/64 only -->
<service name="cockpit"/> <!-- tcp 9090 -->
(“cockpit”被实现为在 TCP 端口 9090 上运行的 Web 服务器。它使用 HTTPS 和密码身份验证。还有一个替代选项可以使用 SSH 和 SSH 密钥身份验证)。
它允许 MDNS / avahi 吗?
当您查看包装时,这有点令人困惑。该软件包包含一个默认启用 MDNS 的补丁,但它没有触及这些文件中的任何一个。尽管如此,MDNS 将在 Fedora Workstation 上被允许。标准 MDNS 端口是 5353,它属于 Fedora Workstation 允许的“高端口”(1025-65535)。
MDNS 补丁早FedoraWorkstation.xml于FedoraServer.xmlFedora 21 (2014-12-09)。这是 Fedora 的第一个版本,分为工作站版和服务器版。在 Fedora 20 中,默认区域定义是public.xml并且它允许 MDNS。
Fedora 21 及其工作站防火墙-- LWN.net, 2014-12-17
https://src.fedoraproject.org/rpms/firewalld/tree/f28
日期:2012 年 8 月 6 日星期一 10:01:09 +0200
主题:[补丁] 使 MDNS 在除最严格区域之外的所有区域中正常工作
MDNS 是一种发现协议,与 DNS 或 DHCP 非常相似,应该
可供网络按预期运行。Avahi(主要 MDNS)实施已采取措施确保
默认情况下不会发布私人信息。看: https://fedoraproject.org/wiki/Desktop/Whiteboards/AvahiDefault