Moin,
ich sehe seit längerer Zeit auf meinem DHCP-Server _verweigerte_ Anfragen
auf gezielt einige unserer (festen) Server-IPs. Trotzdem schlägt kurze Zeit
später arpwatch Alarm, daß der Server seine IP geändert hat. Das ganze
sieht so aus:
DHCPREQUEST for xxx.xx.xx.x from <MAC>
DHCPNAK for xxx.xx.xx.x to <MAC>
und kurz später ist es soweit. Ich habe eine _leere_ leases Konfiguration
für dieses subnetz erstellt, i.e.
# dhcpd.conf
#
# Sample configuration file for ISC dhcpd
#
# option definitions common to all supported networks...
option domain-name "netborstel.net";
option domain-name-servers 192.168.1.100;
option netbios-name-servers 192.168.1.100;
option routers 192.168.1.100;
option subnet-mask 255.255.255.0;
default-lease-time 60000;
max-lease-time 72000;
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.50 192.168.1.80;
option domain-name-servers 192.168.1.100;
option broadcast-address 192.168.1.255;
}
subnet XXX.XX.XX.XX netmask 255.255.255.255 {
# leer !!!
}
Warum vergibt der DHCP trotzdem Adressen, bzw. warum benutzen die Clients
diese dann auch noch?
Da der dhcpd nicht läuft, wenn man nur eines seiner subnetze konfiguriert
(und ich ihn intern dringend brauche) - welche Ports muss ich blocken,
damit die _Antworten_ des dhcpd nicht mehr -raus- kommen? Ich habe schon
Sachen wie die folgenden laufen, aber die treffen irgendwie nicht:
# BOOTP/DHCP: no incoming, and no outgoing OVER ETH1 (EXTERNAL IF)
$IPCHAINS -A output -p tcp -s 0/0 67:68 -d 0/0 67:68 -i eth1 -j REJECT -l
$IPCHAINS -A output -p udp -s 0/0 67:68 -d 0/0 67:68 -i eth1 -j REJECT -l
aber das tuts irgendwie nicht (und "fühlt" sich auch doppelt gemoppelt an).
Wie mach ichs richtig?
--
"I heard that the Japanese are shipping huge loads of viagra to Florida,
since they heard people there have problems with their 'elections'."
-- dalebard
http://www.hitchhikers.de/ - Die kostenlose Mitfahrzentrale für ganz Europa
Attachment:
pgpex0Gb4tSZv.pgp
Description: PGP signature