Firewalldは、一時ポートからのマルチキャストDNSクエリ応答を許可します。

おめでとうございます。パケットフィルタリングの概念の限界を発見しました。マルチキャストプロトコル追跡：転送は絶対に禁止されているため、同じアドレスから応答を返すことはできません。~からマルチキャストアドレス。ファイアウォールがお客様のリクエストに対するレスポンスを一致させずにブロックしました。明らかに、システムMDNSデーモンavahiは固定ポート5353から送信してそれを防ぐので、そのポートでも応答を受け取ります。ファイアウォールルールは、特にポート5353を許可します。できればソフトウェアにavahiと会話させる、これはavahiが推奨するソリューションです。

または、デフォルトのavahiオプションを使用できますdisallow-other-stacks=no。固定ポート 5353 を使用するようにクライアントアプリケーションを構成する。これがAvahiの信頼性にどのような影響を与えるかは不明です。あるいは、必要でない場合は、単にAvahiを無効にすることもできます。もちろん、アプリケーションが許可する場合選ぶ固定ソースポートをファイアウォールに追加するだけで機能します。

...「クライアントアプリケーション」と言わない限り、理論的には複数のインスタンスを同時に実行できるソフトウェアクラスを意味します。単一デーモンを介してすべてのネットワーク要求を実行するわけではありません。そしてこのアプリはavahiが実装したSO_REUSEPORTハッキングを使用しないため、disallow-other-stacks=no一度に1つのアプリインスタンスしか実行できません。。

多くのデスクトップまたは小規模ローカルネットワークボックス用のLinuxソフトウェアは、ホストファイアウォールで実行するように設計されていない可能性があります。 Fedoraはそのための基本的なディストリビューションです。 Fedora Workstationは最近、ファイアウォールのデフォルト領域を「FedoraWorkstation」に変更し、1024以上のすべてのTCPまたはUDPポートへの接続を許可しました。 Fedora Workstationが構成されているかファイアウォールがなくても、ソフトウェアは変更なく実行できます。

Firewalldなどのホストファイアウォールの重要性を表現するのは難しいです。 Shorewallなどのゾーン間ルーティングはサポートされていません。プライマリゾーンをより制限的なゾーンに設定することを選択して、ホームワイヤレスネットワークまたはVPNのより多くの許可設定を提供できます。 NetworkManagerを一生懸命使用すると、家庭用有線ネットワークでも機能するようになります。ただし、デフォルトでは有効になっている機能と比較して、あまりにもあいまいです。

操作は完全に安全です基本ファイアウォールなしでFedora（またはUbuntu）をインストールします。あなたが放棄するのは、ポートを開く中央集中型のポリシーです。後でランダムなソフトウェアを設定し、ポートでリッスンしたいことに気付かなかった場合に備えてください。

人々はLinuxとWindowsのファイアウォールを比較しようとしますが、Firewalldとは異なり、Windowsファイアウォールは明らかに必要であり、実際には一般の人が理解することができます。。 Windowsはデフォルトでポートを開き、ホストファイアウォールを使用してポートを保護します。有線ネットワークに対して信頼できる/信頼できない領域を実装します。新しいネットワークはデフォルトでは信頼できず、変更するかどうかを尋ねるポップアップが表示されます。さまざまな有線ネットワークは、DHCP サーバーの MAC アドレスで識別されます。少なくともWindows 8以降、「express」を初めて実行すると、現在のネットワークが信頼できるとマークされます。これは理論的には迷惑ですが、実際には非常に役立ちます。

技術的には、dbusを介してFirewalldと通信し、それに応答してバインドされた一時ポートを開くように要求できるようにソフトウェアを変更することもできます。しかし、なんか私はこれが役に立つ提案だとは思わない。