6.7. ネットワーキング

dnsmasq が、ソースポートとして 1024 未満のポートを使用しなくなる

以前は、1024 未満のすべてのポートのクエリーに使用される Domain Name System forwarder(dnsmasq)が使用されていました。ただし、Bereley Internet Name Domain(BIND)は、ポートの一部から受け取った DNS クエリーを破棄します。そのため、BIND がターゲットポート 464 を無視していました。今回の更新で、dnsmasq はカスタムのランダムポートジェネレーターを使用しないように修正されましたが、オペレーティングシステムが代わりにランダムポートを割り当てることができるようになりました。その結果、dnsmasq はソースポートとして 1024 未満のポートを使用しなくなり、BIND で説明されている問題を回避できるようになりました。

有効なキャッシュを持つ dnsmasq が DNSSEC レコードなしでキャッシュされた応答を返しなくなりました。

以前のバージョンでは、有効なキャッシュを持つ dnsmasq サービスは、クエリーに DNSSEC OK ビットが設定されている場合でも、DNSSEC レコードなしにキャッシュされた応答を返していました。そのため、返された返信が dnsmasq 下でクライアントによる DNSSEC 検証をパスできませんでした。これにより、dnsmasq のクライアントは DNSSEC 検証を使用できません。これを修正するには、DNSSEC OK ビットセットを使用して要求を常に転送し、DNSSEC 検証がローカルで有効にされない限り、キャッシュされた値を使用しません。その結果、dnsmasq のクライアントはすべての応答を正常に検証できます。

ipset サービスが他のセットに依存する負荷セットをロードできるようになりました。

ipset サービスは、別のファイルに IP セット（IP アドレスの一覧）を保存します。Red Hat Enterprise Linux(RHEL)7.6 では、サービスを開始する際に、各セットは順次読み込まれていました。その結果、サービスは他のセットの依存関係を持つ IP セットの読み込みに失敗しました。今回の更新で、ipset サービスは最初に保存された設定に含まれるすべてのセットを作成し、エントリーを追加します。その結果、他のセットの依存関係を持つ IP セットをロードできるようになりました。

ipset サービスにおけるエラーロギングが改善されました。

以前では、ipset サービスにより、systemd ログに、有意の重大度とともにエラーが報告されていませんでした。無効な設定エントリーの重大度レベルは、「情報」通知のみで、サービスは、使用できない設定のエラーを報告していませんでした。したがって、管理者が ipset サービスの設定で問題を特定してトラブルシューティングを行うことは困難でした。今回の更新で、ipset が、systemd ログで 警告 として設定問題を報告します。サービスが起動できない場合は、詳細を含む エラー の重大度とともにエントリーをログに記録するようになりました。このため、ipset サービスの設定での問題のトラブルシューティングが可能になりました。

ipset が、システムの起動時に無効な設定エントリーを無視するようになりました。

ipset サービスは、設定を別のファイルにセットとして保存します。以前では、サービスを起動すると、セットを手動で編集して挿入できる無効なエントリーをフィルタリングせずに、1 回の操作ですべてのセットから設定を復元していました。したがって、単一の設定エントリーが無効だった場合でも、このサービスは、それ以上の関連しないセットを復元していませんでした。この問題が修正されました。これにより、ipset サービスが復元操作時に無効な設定エントリーを検出して削除し、無効な設定エントリーを無視します。

firewalld がバージョン 0.6.3 にリベースされました。

firewalld パッケージがアップストリームバージョン 0.6.3 にアップグレードされ、以前のバージョンに対するバグ修正が数多く追加されました。