6.7. ネットワーキング

dnsmasq が、ソースポートとして 1024 未満のポートを使用しなくなる

以前は、1024 未満のすべてのポートのクエリーに使用される Domain Name System forwarder(dnsmasq)が使用されていました。ただし、Bereley Internet Name Domain(BIND)は、ポートの一部から受け取った DNS クエリーを破棄します。そのため、BIND がターゲットポート 464 を無視していました。今回の更新で、dnsmasq はカスタムのランダムポートジェネレーターを使用しないように修正されましたが、オペレーティングシステムが代わりにランダムポートを割り当てることができるようになりました。その結果、dnsmasq はソースポートとして 1024 未満のポートを使用しなくなり、BIND で説明されている問題を回避できるようになりました。

(BZ#1614331)

有効なキャッシュを持つ dnsmasq が DNSSEC レコードなしでキャッシュされた応答を返しなくなりました。

以前のバージョンでは、有効なキャッシュを持つ dnsmasq サービスは、クエリーに DNSSEC OK ビットが設定されている場合でも、DNSSEC レコードなしにキャッシュされた応答を返していました。そのため、返された返信が dnsmasq 下でクライアントによる DNSSEC 検証をパスできませんでした。これにより、dnsmasq のクライアントは DNSSEC 検証を使用できません。これを修正するには、DNSSEC OK ビットセットを使用して要求を常に転送し、DNSSEC 検証がローカルで有効にされない限り、キャッシュされた値を使用しません。その結果、dnsmasq のクライアントはすべての応答を正常に検証できます。

(BZ#1638703)

ipset サービスが他のセットに依存する負荷セットをロードできるようになりました。

ipset サービスは、別のファイルに IP セット(IP アドレスの一覧)を保存します。Red Hat Enterprise Linux(RHEL)7.6 では、サービスを開始する際に、各セットは順次読み込まれていました。その結果、サービスは他のセットの依存関係を持つ IP セットの読み込みに失敗しました。今回の更新で、ipset サービスは最初に保存された設定に含まれるすべてのセットを作成し、エントリーを追加します。その結果、他のセットの依存関係を持つ IP セットをロードできるようになりました。

(BZ#1646666)

ipset サービスにおけるエラーロギングが改善されました。

以前では、ipset サービスにより、systemd ログに、有意の重大度とともにエラーが報告されていませんでした。無効な設定エントリーの重大度レベルは、「情報」通知のみで、サービスは、使用できない設定のエラーを報告していませんでした。したがって、管理者が ipset サービスの設定で問題を特定してトラブルシューティングを行うことは困難でした。今回の更新で、ipset が、systemd ログで 警告 として設定問題を報告します。サービスが起動できない場合は、詳細を含む エラー の重大度とともにエントリーをログに記録するようになりました。このため、ipset サービスの設定での問題のトラブルシューティングが可能になりました。

(BZ#1649877)

ipset が、システムの起動時に無効な設定エントリーを無視するようになりました。

ipset サービスは、設定を別のファイルにセットとして保存します。以前では、サービスを起動すると、セットを手動で編集して挿入できる無効なエントリーをフィルタリングせずに、1 回の操作ですべてのセットから設定を復元していました。したがって、単一の設定エントリーが無効だった場合でも、このサービスは、それ以上の関連しないセットを復元していませんでした。この問題が修正されました。これにより、ipset サービスが復元操作時に無効な設定エントリーを検出して削除し、無効な設定エントリーを無視します。

(BZ#1650297)

firewalld がバージョン 0.6.3 にリベースされました。

firewalld パッケージがアップストリームバージョン 0.6.3 にアップグレードされ、以前のバージョンに対するバグ修正が数多く追加されました。

  • firewalld サービスは、永続的な設定変更のために ifcfg ファイルのみを変更するようになりました。
  • firewall-config ユーティリティーの変換されていない文字列が修正され、UI でリッチルールを変更できませんでした。
  • icmp-block-inversion パラメーターと組み合わせて使用すると、set-log-denied パラメーターが正しく機能するようになりました。
  • firewall-cmd ユーティリティーは、ipset コマンドの戻り値を正しくチェックするようになりました。
  • ポート転送を使用し、toaddr パラメーターが指定されていない場合、IP 転送は有効ではなくなりました。
  • シェルの自動補完機能は、常に認証を要求しなくなりました。

(BZ#1637204)