Re: DHCP-Server verteilt ungefragt Addressen

To: Debian User <debian-user-de@lehmanns.de>
Subject: Re: DHCP-Server verteilt ungefragt Addressen
From: Joerg Friedrich <Joerg.Dieter.Friedrich@uni-konstanz.de>
Date: Mon, 4 Dec 2000 18:20:59 +0100
Message-id: <[🔎] 20001204182059.A9074@mail.terrania.city>
In-reply-to: <[🔎] 20001204022653.I19323@jensbenecke.de>; from Jens Benecke on Mon, Dec 04, 2000 at 02:26:53AM +0100
References: <[🔎] 20001204022653.I19323@jensbenecke.de>

On Mon, Dez 04, 2000 at 02:26:53 +0100, Jens Benecke wrote:
> 
> Da der dhcpd nicht läuft, wenn man nur eines seiner subnetze konfiguriert
> (und ich ihn intern dringend brauche) - welche Ports muss ich blocken,
> damit die _Antworten_ des dhcpd nicht mehr -raus- kommen? Ich habe schon
> Sachen wie die folgenden laufen, aber die treffen irgendwie nicht:
> 
> 
> # BOOTP/DHCP: no incoming, and no outgoing OVER ETH1 (EXTERNAL IF)
> $IPCHAINS -A output -p tcp -s 0/0 67:68 -d 0/0 67:68 -i eth1 -j REJECT -l
> $IPCHAINS -A output -p udp -s 0/0 67:68 -d 0/0 67:68 -i eth1 -j REJECT -l       
> 
> aber das tuts irgendwie nicht (und "fühlt" sich auch doppelt gemoppelt an).
> 
> Wie mach ichs richtig?
> 

Moeglicherweise hast Du schon vor diesen Regeln eine, die auf diese Pakete
zutrifft und den Verkehr erlaubt. Die Regel, die auf ein Paket zutrifft, gilt.
Also wenn Du vorher eine Regel hast, die saemtlichen traffic auf eth1 erlaubt,
dann nützen Dir diese nichts mehr, da Du sie ja nur mit '-A' anhaengst.

1. Lösung: setze diese Regeln vor irgendwelche erlaubnisregeln.
   btw: dhcp ist reine udp-kommunikation: 
	und zwar erstens anfrage der clients von port 68 an broadcast port 67
   ($IPCHAINS -A input -p udp -s 0.0.0.0/0 68 -d 255.255.255.255/32 67 -i eth1 -j REJECT -l)
	und zweitens antwort des servers: von serverip port 67 an broadcast 68
   ($IPCHAINS -A output -p udp -s serverip/32 67 -d 255.255.255.255/32 68 -i eth1 -j REJECT -l)

2. Lösung: sag dem dhcp-server auf welchen interfaces er servieren soll.
   man dhcpd:

SYNOPSIS
       dhcpd [ -p port ] [ -f ] [ -d ] [ -q ] [ -cf config-file ]
       [ -lf lease-file ] [ if0 [ ...ifN ] ]


also wenn Du den isc-dhcpd benutzt und über das debian-init.d-script startest, übergib
doch in dieser datei dem daemon dein(e) interface(s) mit

-- 
Heute ist nicht alle Tage, ich komme wieder, keine Frage!!!

   Joerg

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

710 eingetragene Mitglieder in dieser Liste.

Reply to:

Follow-Ups:
- Re: DHCP-Server verteilt ungefragt Addressen
  - From: Jens Benecke <jens@jensbenecke.de>

References:
- [Debian] DHCP-Server verteilt ungefragt Addressen
  - From: Jens Benecke <jens@jensbenecke.de>

Prev by Date: Re: Reiser FS und Zukunftssicherheit
Next by Date: Re: [Debian] Woddy Pakete vom ftp-server holen
Previous by thread: [Debian] DHCP-Server verteilt ungefragt Addressen
Next by thread: Re: DHCP-Server verteilt ungefragt Addressen
Index(es):
- Date
- Thread