iptables - dhcpd a INPUT DROP
Michal Dobes
dobes na tes.eu
Pondělí Červenec 30 17:08:49 CEST 2007
Petr Vejsada napsal(a):
>>> Dhcpcd si otvírá raw socket a poslouchá přímo na něm. Co mu
>>> dojde přes raw socket, to obchází celý IP stack a s ním i iptables.
>> Aha. Teď to začíná dávat smysl.
Ten raw používá dhcp asi hlavně kvůli tomu, že spousta zařízení je
schopno vyprodukovat dhcp požadavek takovým způsobem, že IP stack to
zahodí jako nekorektní bordel dříve, než se k tomu dhcp démon dostane
a ani do toho nemusím míchat firewall.
> zas tak do toho nevidim muj predrecnik ma asi pravdu. Ja bych zkusil tam dat
> DROP na pravidlo PREROUTING -t nat. Pokud to nepomuze, tak IMHO co se tyka
> prichozich pozadavku na DHCP uz nepomuze nic.
Myslím, že s prostředky iptables na komunikaci přes raw socket se
nedosáhne. Iptables (či přesněji netfilter) je zaháčkovan až v IP
stacku a ten je zcela mimo raw socket. Možná se objevilo v iptables
něco na raw. Jediné, co si vybavuji, bylo něco experimentálního jen
na debug paketů, nic na filtrování.
To už dávám větší šanci provést něco pomocí arptables nebo ebtables,
což sedí o něco níže a možná by se mohlo dotknout i provozu nad raw,
ale vzhledem k jejich celkem úzkému zaměření to nejspíš také nepůjde.
M.
Další informace o konferenci Linux