免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: platinum

DHCP 的讨论(iptables 对其无效?) [复制链接]

论坛徽章:
0
发表于 2005-07-14 17:04 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

不会是从别的DHCP获取的吧~~~~

论坛徽章:
0
发表于 2005-07-14 17:11 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

不不,我是自己做的试验,在家
我家 3 台电脑,一个做 NAT,带另外两个上网
我是在 NAT 上做策略,然后用我自己的电脑去获取 dhcp IP 的

论坛徽章:
0
发表于 2005-07-14 17:25 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

那这个问题就奇怪了,你再做一次,

抓个包看看是怎么回事?

论坛徽章:
0
发表于 2005-07-14 17:51 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

原帖由 "河里的鱼" 发表:
那这个问题就奇怪了,你再做一次,

抓个包看看是怎么回事?

OK,稍后我把所有试验过程贴出来让大家看

论坛徽章:
0
发表于 2005-07-14 17:52 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

原帖由 "platinum" 发表:

OK,稍后我把所有试验过程贴出来让大家看


TKS~~~~~~~~~

论坛徽章:
0
发表于 2005-07-14 19:42 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

原帖由 "platinum" 发表:

欢迎讨论:)
具体说说看?

另外由这个,引发了我又一个问题
根据 RFC 2131 的内容,我在 DHCP 服务器上封掉了 UDP/67,但 client 仍然可以通过我获取 IP
又做了一个试验,干脆 service iptables stop,然后 ..........


关注!

我觉得可能是这样的:对于dhcp广播的包,应该是不符合INPUT这个链的,但是我也不知道该是哪个,但是如果将OUTPUT的链DROP掉,估计就该获取不到IP了吧?

论坛徽章:
0
发表于 2005-07-14 20:13 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

原帖由 "achaoge" 发表:

应该是不符合INPUT这个链的,但是我也不知道该是哪个,但是如果将OUTPUT的链DROP掉,估计就该获取不到IP了吧?

INPUT 链不管用的话,没理由 OUTPUT 链管用的,二者是同一层次的并列关系

下面看我做的两个试验


试验一:
[root@PT-LINUX root]# iptables -F INPUT
[root@PT-LINUX root]# iptables -F FORWARD
[root@PT-LINUX root]# iptables -F OUTPUT
[root@PT-LINUX root]# iptables -P INPUT DROP
[root@PT-LINUX root]# iptables -P FORWARD DROP
[root@PT-LINUX root]# iptables -P OUTPUT DROP
[root@PT-LINUX root]# tcpdump -nn -i eth1 -e port 67
tcpdump: listening on eth1
20:03:20.019578 0:a:e6:a9:64:a2 ff:ff:ff:ff:ff:ff 0800 342: 0.0.0.0.68 >; 255.255.255.255.67:  xid:0x6c5e750e [|bootp]
20:03:20.020444 0:e0:4c:39:6d:96 0:a:e6:a9:64:a2 0800 342: 172.25.39.254.67 >; 172.17.39.249.68:  xid:0x6c5e750e Y:172.17.39.249 S:172.25.39.254 [|bootp] [tos 0x10]
20:03:20.021149 0:a:e6:a9:64:a2 ff:ff:ff:ff:ff:ff 0800 353: 0.0.0.0.68 >; 255.255.255.255.67:  xid:0x6c5e750e [|bootp]
20:03:20.215595 0:e0:4c:39:6d:96 0:a:e6:a9:64:a2 0800 342: 172.25.39.254.67 >; 172.17.39.249.68:  xid:0x6c5e750e Y:172.17.39.249 S:172.25.39.254 [|bootp] [tos 0x10]

4 packets received by filter
0 packets dropped by kernel
[root@PT-LINUX root]#

试验结果:
  清空 filter 表的所有规则,并将 filter 表各个链的默认规则设置为 DROP,client 仍然可以从本机这台机器获取 IP








试验二:
[root@PT-LINUX root]# service iptables stop
Flushing firewall rules: [  OK  ]
Setting chains to policy ACCEPT: mangle filter nat [  OK  ]
Unloading iptables modules: [  OK  ]
[root@PT-LINUX root]# iptables -t mangle -A PREROUTING -j DROP
[root@PT-LINUX root]# tcpdump -nn -i eth1 -e port 67
tcpdump: listening on eth1
20:05:28.404501 0:a:e6:a9:64:a2 ff:ff:ff:ff:ff:ff 0800 342: 0.0.0.0.68 >; 255.255.255.255.67:  xid:0x94262a24 [|bootp]
20:05:29.000447 0:e0:4c:39:6d:96 0:a:e6:a9:64:a2 0800 342: 172.25.39.254.67 >; 172.17.39.249.68:  xid:0x94262a24 Y:172.17.39.249 S:172.25.39.254 [|bootp] [tos 0x10]
20:05:29.001226 0:a:e6:a9:64:a2 ff:ff:ff:ff:ff:ff 0800 353: 0.0.0.0.68 >; 255.255.255.255.67:  xid:0x94262a24 [|bootp]
20:05:31.059376 0:e0:4c:39:6d:96 0:a:e6:a9:64:a2 0800 342: 172.25.39.254.67 >; 172.17.39.249.68:  xid:0x94262a24 Y:172.17.39.249 S:172.25.39.254 [|bootp] [tos 0x10]

4 packets received by filter
0 packets dropped by kernel
[root@PT-LINUX root]#

试验结果:
  这次停掉所有规则,然后把 netfilter 最先处理的 PREROUTING 链禁止掉,迫使它拦截一切数据包,结果 client 依然可以获取到 IP

论坛徽章:
0
发表于 2005-07-14 20:47 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

我觉得DHCP服务器端扫不到端口,
印象中那只是个用UDP封装的报文.广播还是在链路上广播的,跟ip无关.
打开DHCP服务,应该也扫不到端口才对...
有问题请指出.

论坛徽章:
0
发表于 2005-07-14 21:24 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

原帖由 "双眼皮的猪" 发表:
我觉得DHCP服务器端扫不到端口,
印象中那只是个用UDP封装的报文.广播还是在链路上广播的,跟ip无关.
打开DHCP服务,应该也扫不到端口才对...
有问题请指出.

我再去看看 RFC 2131/2132

论坛徽章:
0
发表于 2005-07-14 22:07 |显示全部楼层

DHCP 的讨论(iptables 对其无效?)

RFC 2131 中提到一些 UDP 的内容
   DHCP uses UDP as its transport protocol.  DHCP messages from a client
   to a server are sent to the 'DHCP server' port (67), and DHCP
   messages from a server to a client are sent to the 'DHCP client' port
   (68). A server with multiple network address (e.g., a multi-homed
   host) MAY use any of its network addresses in outgoing DHCP messages.

但没谈到封装的问题
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP