6.7. ネットワーク

dnsmasq が 1024 未満のポートをソースポートとして使用しなくなる

以前は、Domain Name System forwarder (dnsmasq) が 1024 未満のすべてのポートをクエリーしていました。ただし、Berkeley Internet Name Domain (BIND)は、一部の低ポートから受信した DNS クエリーを破棄します。そのため、BIND ではターゲットポート 464 が無視されました。今回の更新により、dnsmasq はカスタムのランダムポートジェネレーターを使用しないように修正されましたが、オペレーティングシステムが代わりにランダムポートを割り当てることができるようになりました。その結果、dnsmasq は 1024 未満のポートをソースポートとして使用しなくなり、BIND で上記の問題を防ぎます。

キャッシュが有効な dnsmasq が DNSSEC レコードなしでキャッシュされた応答を返さなくなりました。

以前のバージョンでは、キャッシュが有効な dnsmasq サービスは、クエリーに DNSSEC OK ビットが設定されていても、DNSSEC レコードなしでキャッシュされた応答を返していました。そのため、返される返信は dnsmasq の下でクライアントによる DNSSEC 検証に合格できませんでした。これにより、dnsmasq の下にあるクライアントは DNSSEC 検証を使用できません。これを修正するには、DNSSEC OK ビットが設定されたリクエストを常に転送し、DNSSEC 検証がローカルで有効になっていない限り、キャッシュされた値は使用しないでください。その結果、dnsmasq の下のクライアントはすべての応答を正常に検証できます。

ipset サービスが、他のセットに依存するセットをロードできるようになりました。

EOFhe ipset サービスは、IP セット(IP アドレスのリスト)を別のファイルに保存します。Red Hat Enterprise Linux (RHEL) 7.6 では、サービスの開始時に、各セットが順番に読み込まれ、その間の依存関係を無視していました。その結果、サービスは他のセットへの依存関係で IP セットの読み込みに失敗しました。今回の更新で、ipset サービスが保存した設定に含まれるすべてのセットを作成し、そのエントリーを追加します。その結果、他のセットへの依存関係を持つ IP セットを読み込むことができるようになりました。

ipset サービスにおけるエラーロギングが改善されました。

以前では、ipset サービスにより、systemd ログに、有意の重大度とともにエラーが報告されていませんでした。無効な設定エントリーの重大度レベルは、情報 通知のみで、サービスは、使用できない設定のエラーを報告していませんでした。したがって、管理者が ipset サービスの設定で問題を特定してトラブルシューティングを行うことは困難でした。今回の更新で、ipset が、systemd ログで 警告 として設定問題を報告します。サービスが起動できない場合は、詳細を含む エラー の重大度とともにエントリーをログに記録するようになりました。このため、ipset サービスの設定での問題のトラブルシューティングが可能になりました。

ipset が、システムの起動時に無効な設定エントリーを無視するようになりました。

ipset サービスは、設定を別のファイルにセットとして保存します。以前では、サービスを起動すると、セットを手動で編集して挿入できる無効なエントリーをフィルタリングせずに、1 回の操作ですべてのセットから設定を復元していました。したがって、単一の設定エントリーが無効だった場合でも、このサービスは、それ以上の関連しないセットを復元していませんでした。この問題が修正されました。これにより、ipset サービスが復元操作時に無効な設定エントリーを検出して削除し、無効な設定エントリーを無視します。

firewalld がバージョン 0.6.3 にリベース

firewalld パッケージがアップストリームバージョン 0.6.3 にアップグレードし、以前のバージョンにバグ修正が数多く追加されました。