DHCP 的讨论（iptables 对其无效？）

depthblue

原帖由 "abel" 发表：
你確定 ethernet 的 packet 一定會先經過 arpfilter/ebtables ?
如果是,那當然沒有問題

但是都用 HUB 接的線,恐怕實情就不是這樣了
因為每台電腦都和 HUB 連,封包是轉送給每台電腦,
你有 arpfilter 有收到,但?.........

我印象中是如此的，ebtables和iptables很相似
比如
ebtables -P INPUT DROP
ebtables -A INPUT -p IPv4 -j ACCEPT
ebtables -A INPUT -p ARP -j ACCEPT
ebtables -A INPUT -p LENGTH -j ACCEPT

虽然每个人都会都会收到广播，但是针对要封住到LINUX　服务器DHCP的广播包，是不会有问题的，请求被DROP后，客户端便无法获得IP．
DHCP请求的包，在２层不知道type是多少

platinum

原帖由 "abel" 发表：

我的看法是,Client <-->;HUP <--->;DHCP Server  , 這個過程跟本不會
經過 NAT Server 上的過濾影響 , 大家都收到 ff:ff:ff:ff:ff:ff

我的意思不是用 NAT 去过滤广播，过滤是做在 dhcp server 上的
看了 NetDC 贴的文档后，得知 raw socket 在 iptables 处理前先被 dhcp server 处理

abel

我前面的觀點...一個重點 , 這是茶壺裏的風暴

1. 
   
2.                                   PC3
   
3.                                    |
   
4. INTERNET --- NAT  ---HUB ----PC1
   
5.                                     |
   
6.                                   PC2
   

复制代码

我相信 platinum 兄在經費問題下,架構應是這樣的
假設 PC1 enable 了 DHCP , PC2 是要 IP 的, 你的 filter 在那裏 ?
照platinum兄前面的描述,定是在 NAT 這個點上
這個點如何欄到 PC1 PC2 間的溝通呢 ?

HUB 會把封包無條件轉過去(即使 PC1 單純和 PC2 互連也會轉過去,形成如同廣播), 即使你 NAT run 什麼 filter 都沒有用,不是嗎 ?

depthblue

http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html
看看这个，是否有帮助
直接在DHCP SERVER过滤广播
下周有时间试试

abel

原帖由 "platinum" 发表：

我的意思不是用 NAT 去过滤广播，过滤是做在 dhcp server 上的
看了 NetDC 贴的文档后，得知 raw socket 在 iptables 处理前先被 dhcp server 处理

?
不是這個意思 ?

环境：一个宿舍楼层，一台 Linux 做 NAT，带十几台电脑，一个普通HUB，大家集资购买

因为网络中有非法 DHCP 服务器，影响了大家正常 IP 分配（估计是有人用VMWARE），我想了一个方法来找出那个电脑
代码:

[root@platinum root]# tcpdump -e -i eth1 -nn port 67 -c 4 2>;&1|awk '/bootp/{print $2" -->; "$3}'
0:a:e6:a9:64:a2 -->; ff:ff:ff:ff:ff:ff
0:e0:4c:39:6d:96 -->; 0:a:e6:a9:64:a2
0:a:e6:a9:64:a2 -->; ff:ff:ff:ff:ff:ff
0:e0:4c:39:6d:96 -->; 0:a:e6:a9:64:a2
[root@platium root]#

原理是听包，找到那个电脑的 MAC，因为 IP 一般人都会改的，MAC 不一定
用这个方法找出他的 MAC，然后在 NAT 机器上面禁止掉他

前提：因为资金问题，不能购买带管理的交换，因此仅从技术方面分析，帮助那些无助的朋友们分析解决问题

有台 PC 跑出了 dhcp ? 要 filter 它 ?

platinum

哦，abel 兄，开始是想如何找出那个非法 dhcp server
后来问题衍变为
合法 dhcp server（linux） 上的 iptables 无法过滤掉其他 PC 的 dhcp client 请求
我们说的不是一码事

abel

原帖由 "platinum" 发表：
哦，abel 兄，开始是想如何找出那个非法 dhcp server
后来问题衍变为
合法 dhcp server（linux） 上的 iptables 无法过滤掉其他 PC 的 dhcp client 请求
我们说的不是一码事

哦~soga,那我就離題了
那就要濾第二層東西了,如 depthblue 所言, iptables 是濾第三層的, 至於 -mac 也是只濾第三層中的mac , 至於 raw socket 問題,不可能說它是 raw socket 就可以過去,
而是這個 raw socket 是開發在層次不同的地方

platinum

原帖由 "abel" 发表：

哦~soga,那我就離題了
那就要濾第二層東西了,如 depthblue 所言, iptables 是濾第三層的, 至於 -mac 也是只濾第三層中的mac , 至於 raw socket 問題,不可能說它是 raw socket 就可以過去,
而是這個 raw socket 是..........

abel 兄急得直说日语啦

言归正传，abel 兄说“至於 -mac 也是只濾第三層中的mac”，我并不是很赞同
IP 数据报中没有 MAC 这个信息，二层里倒是有
如果说 iptables 能过滤 MAC，那么按道理来说
iptables -I INPUT -m mac --mac $CLIENT-MAC -j DROP
这样应该就可以阻止某个 client 过来的 DHCPREQUEST 了才对，今天晚上我试验一下

mocou

刚才又查了一些资料，应该是这样的
很多操作系统在实现网络部份应用的时候只实现了一些常用的协议：如icmp,udp,tcp
而其它协议如：ospf等在操作系统上并没有实现，此时借助raw socke。将这个包交给raw socket.
也就是说并不是所有IP包都要通过系统核心过滤的     

abel

言归正传，abel 兄说“至於 -mac 也是只濾第三層中的mac”，我并不是很赞同

嗯~你誤會我的意思了,
我是指 IP 層中,其下的 MAC 部份
也就是你說的意思.
也就是 iptables 過濾的是符合 IP 層中的 mac