iptables & DHCP

[Michal Ludvig]

David Rohleder wrote:
> Michal Ludvig <michal-linux na logix.cz> writes:
> 
> 
>>Zdravim,
>>narazil jsem na zvlastni probelem. Zrovna ladim program, ktery se
>>dotazuje protokolem DHCP na par udaju. Protoze nas hlavni DHCP server
>>(dhcp1) tyto udaje neposkytuje (konkretne se jedna o bootfile a
>>rootpath), nainstaloval jsem na jeden jiny stroj dalsi DHCP server
>>(dhcp2), ktery jsem nastavil k obrazu svemu. Potud je vse v poradku.
>>Nyni ale potrebuju omezit, aby se k memu ladenemu programu dostaly jen
>>odpovedi z meho DHCP serveru. Zkusil jsem tedy zakazat odpovedi z
>>dhcp1 pres iptables:
>># iptables -t nat -I PREROUTING -p udp --sport bootps -s dhcp1 -j DROP
>>Jenze tohle prekvapive nema zadny vliv. Kdyz tam misto DROP dam LOG,
>>tak to packet zapise, ale i pri DROP ho pusti k dhcpclientovi...
>>Kde je chyba?
>>
> 
> No dobre, ale proc pouzivate table nat a ne input? Je to snad nejaky
> maskaradujici router?
> 
> PREROUTING se specialne pouziva pro prepisovani TCP/IP hlavicek a je
> otazka, proc by tam mel byt DROP implementovan jako target.

Protoze PREROUTING je uplne prvni nf hook, kterym paket projde. DROP tam 
samozrejme (obvykle) funguje. Ale ani kdyz toto pravidlo dam do inputu, 
tak to neni nic platne. DHCPklient proste dostane odpoved od obou 
serveru. Kde je chyba?

Michal Ludvig