iptables - dhcpd a INPUT DROP
Dalibor Straka
dast na panelnet.cz
Pondělí Červenec 30 17:41:30 CEST 2007
On Mon, Jul 30, 2007 at 07:34:44AM +0200, Vitezslav Kotrla wrote:
> Dobrý den, malá záhada pro znalce iptables:
>
> Navzdory politice DROP pro chain INPUT reaguje dhcpd na příchozí pakety;
> klienti žádají o adresy a úspěšně je dostávají! (v chainu OUTPUT je
> politika ACCEPT, takže odpovědi odcházejí v pohodě).
>
> Pro chain INPUT není explicitně povolen žádný další provoz, odkud to
> tedy dhcpd bere?
>
> Uklidnilo mě, že alespoň odpovědi dhcpd je možno blokovat, například
> zablokováním udp na výstupu
>
> iptables -P OUTPUT DROP
> iptables -A OUTPUT -o eth0 -p tcp -j ACCEPT
>
> Jádro je 2.6.21.
>
Ahoj,
pro spravnou funkcnost DHCP je treba mit v kernelu CONFIG_PACKET.
Rozbity dhcp klienti (*) potrebovali odpoved z adresy 255.255.255.255.
Jenze kernel odpovi z te IP, kterou ma interface, ze ktereho packet leze
ven. Od kernelu 2.2.x prave existuje moznost CONFIG_PACKET a dhcp zcela
obchazi linuxovy IP stack.
(*) Hadejte ktery?
-- Dalibor Straka
Další informace o konferenci Linux