iptables & DHCP

Úterý Září 4 19:40:51 CEST 2001

On Tue, 4 Sep 2001, Michal Ludvig wrote:

> Protoze PREROUTING je uplne prvni nf hook, kterym paket projde. DROP tam 
> samozrejme (obvykle) funguje. Ale ani kdyz toto pravidlo dam do inputu, 
> tak to neni nic platne. DHCPklient proste dostane odpoved od obou 
> serveru. Kde je chyba?

IMHO je problem v tomto: DHCP/BOOTP klient musi byt schopen operovat
v nestandardnim prostredi, kdy jeste neni IP nakonfigurovane. Toho se
vetsinou dosahne tak, ze klient pouziva misto beznych socketu nejake
nizkourovnove (napr. PF_PACKET). Jenze prusvih je v tom, ze prichozi
pakety se do tehle socketu tlaci jeste pred tim, nez se k nim dostane
jakykoli filtr. Cili to pravidlo funguje a paket zahodi, ovsem udela to
moc pozde.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."