Não consigo ver as regras do iptables onde o firewalld habilita auxiliares. Por quê? Os ajudantes foram desativados de alguma forma?

Aqui está um [exemplo] do ftp helper adicionado ao habilitar o serviço ftp na zona pública.

Parece que o "ajudante" do ftp só está ativado, se você permitir especificamente o "serviço" do ftp em arquivos firewalld. Para cada definição de auxiliar, deve haver uma definição de serviço correspondente.

Originalmente, pensei que você só habilitaria um "serviço" se estivesse executando, por exemplo, um servidor FTP . O modo FTP passivo , preferido hoje em dia, ainda requer uma conexão extra. O cliente deve se conectar ao servidor em uma segunda porta, para transferir os dados do arquivo. O "auxiliar" é necessário para detectar qual porta está sendo usada e permitir essa conexão extra.

Nenhum dos auxiliares está marcado como -client(como o serviço dhcpv6-client). Mas até onde eu sei, habilitar o serviço FTP em um cliente permitirá que ele use o modo ativo FTP original (supondo que firewalldseja o único firewall no caminho). Acho que este exemplo não é um grande problema de segurança, mas pode ser muito confuso :-(.

(Nitpick: FedoraWorkstation vai permitir o modo FTP ativo de qualquer maneira, porque permite conexões de entrada para qualquer porta acima de 1024. Por favor, não me peça para explicar o porquê).

O segundo exemplo que olhei foi o auxiliar de irc, mas não consigo entendê-lo. Parece quebrado para mim.

# cat /usr/lib/firewalld/helpers/irc.xml
<?xml version="1.0" encoding="utf-8"?>
<helper module="nf_conntrack_irc" family="ipv4">
  <port protocol="tcp" port="194"/>
</helper>
# cat /usr/lib/firewalld/services/irc.xml 
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>IRC</short>
  <description>An IRCd, short for Internet Relay Chat daemon, is server software that implements the IRC protocol.</description>
  <port protocol="tcp" port="6667"/>
</service>