В другой теме я говорил о некоторых интересных вещах о политике и состояниях iptables , теперь я хотел бы больше узнать о том, как работает DHCP и как iptables его понимает.
ETH0 подключен к моему главному коммутатору, который получает динамический IP-адрес от моего маршрутизатора, чтобы получить не только доступ к Интернету, но и доступ к моей внешней сети.
ETH1 - это внутренняя карта, подключенная к внутреннему коммутатору, где клиенты X получают свои IPS с этого сервера.
Сеть ETH1 - 192.168.1.0/255.255.255.0, где ip сервера - 192.168.1.254.
Из того, что я понял, dhcp является протоколом bootp, поэтому даже если у вас есть политики брандмауэра для DROP всего, ваша сеть все равно получит DHCP, что в тестах, которые я сделал, казалось правдой.
Из tcpdump:
root@test:~# tcpdump -i eth1 port 67 or 68
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
11:34:03.943928 IP 192.168.1.2.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:0c:29:29:52:8b (oui Unknown), length 303
11:34:03.957647 IP 192.168.1.254.bootps > 192.168.1.2.bootpc: BOOTP/DHCP, Reply, length 300
11:34:06.492153 IP 192.168.1.2.bootpc > 192.168.1.254.bootps: BOOTP/DHCP, Request from 00:0c:29:29:52:8b (oui Unknown), length 303
11:34:06.506593 IP 192.168.1.254.bootps > 192.168.1.2.bootpc: BOOTP/DHCP, Reply, length 300
Я сделал простое правило журнала, чтобы увидеть, что делает iptables:
root@test:~# tail -f /var/log/syslog
Oct 15 11:30:58 test kernel: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0c:29:29:52:8b:08:00 SRC=192.168.1.2 DST=255.255.255.255 LEN=331 TOS=0x00 PREC=0x00 TTL=128 ID=9527 PROTO=UDP SPT=68 DPT=67 LEN=311
Oct 15 11:31:43 test kernel: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0c:29:29:52:8b:08:00 SRC=192.168.1.2 DST=255.255.255.255 LEN=331 TOS=0x00 PREC=0x00 TTL=128 ID=9529 PROTO=UDP SPT=68 DPT=67 LEN=311
Oct 15 11:33:32 test kernel: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0c:29:29:52:8b:08:00 SRC=192.168.1.2 DST=255.255.255.255 LEN=331 TOS=0x00 PREC=0x00 TTL=128 ID=9531 PROTO=UDP SPT=68 DPT=67 LEN=311
Oct 15 11:34:03 test kernel: IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0c:29:29:52:8b:08:00 SRC=192.168.1.2 DST=255.255.255.255 LEN=331 TOS=0x00 PREC=0x00 TTL=128 ID=9533 PROTO=UDP SPT=68 DPT=67 LEN=311
Вот мои правила iptables на данный момент:
# deny all traffic
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
# Use stateful inspection feature to only allow incoming connections
# related to connections I have already established myself
$IPT -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# allow all traffic on lo interface
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
Таким образом, даже при использовании ПОЛИТИКИ по умолчанию для отбрасывания всего, я все равно получаю DHCP в своей сети, в то время как обновление IP занимает много времени.
Если я добавлю следующее правило к своему брандмауэру:
$IPT -I OUTPUT -o $INTIF -p udp --dport 67:68 --sport 67:68 -j ACCEPT
Это займет МНОГО МЕНЬШЕ ВРЕМЕНИ, чтобы обновить любого клиента DHCP.
Учитывая вышеизложенное:
- почему его обновление занимает больше времени, даже если оно не заблокировано?
- Можно ли вообще DROP DHPP-сервер, не выключая его?
- Можно ли принять сервер DHCP в пределах iptables с BOOTP? как это сделать?
Если вы знаете хорошие ссылки, я не возражаю против того, чтобы брать много :)
Are you monitoring the network interface in promiscuous modeя все еще учусь ...Ответы:
Я отвечу № 2: Нет.
При получении IP-адреса демон dhcp создает необработанный сокет для сетевого интерфейса и обрабатывает сам протокол UDP. Таким образом, пакеты UDP никогда не проходят через iptables.
Причина, по которой демон dhcp должен реализовывать UDP, заключается в том, что ядро может обрабатывать UDP (фактически весь пакет TCP / IP) только тогда, когда интерфейс имеет IP-адрес. Ранее демоны dhcp сначала предоставляли интерфейсу IP-адрес 0.0.0.0, но это больше не работает.
источник
Добавление
заставит DHCPD обновляться быстрее :) Он должен работать как на входе, так и на выходе. Вы можете DROP dhcpd с ebtables, а не с iptables. DHCPD прослушивает 0.0.0.0, не в пределах IP
источник
Мое недавнее наблюдение о OpenWRT Kamikaze 7.09 = 2.4.34 и udhcpc из busybox 1.4.2:
У меня есть политика «ПРИНЯТЬ» в цепочке OUTPUT, и в направлении INPUT изначально я опирался на это классическое правило всеобщего охвата:
разрешить ответы DHCP в (на мой udhcpc) на интерфейсе WAN. Т.е. именно здесь вышестоящий DHCP-сервер моего провайдера назначает мне IP-адрес.
Помните разницу между первоначальным обменом DHCP (обнаружение, предложение, запрос, подтверждение) и обновлением аренды DHCP (запрос, подтверждение).
После загрузки udhcpc запускается при полном первоначальном обмене. Этот обмен будет успешным. И еще одно или два обновления будут успешными - просто запрос и подтверждение. DHCP-сервер моего провайдера обычно запрашивает время обновления от часа до 1,5 часов, поэтому мой DHCP-клиент запрашивает обновление каждые 30–45 минут (это поведение основано на RFC).
Но примерно с третьим или четвертым обновлением это станет интересным. TCPdump покажет около трех или около того попыток обновления, после чего начнется полный первоначальный обмен, то есть в течение всего нескольких минут или даже секунд. Как будто udhcpc не понравилось то, что он получил обратно :-( и в конечном итоге был бы удовлетворен полным обменом. После этого, другое обновление через полчаса было бы успешным ... и история повторилась бы снова.
Я понял, что, возможно, что-то не так отслеживает соединение в ядре. Как будто запись conntrack истекает через два часа или около того, и более поздние обновления DHCP завершаются неудачно, потому что ACK от сервера фактически не делает его для udhcpc, прослушивающего сокет. Обратите внимание, что tcpdump (libpcap) прослушивает необработанный интерфейс и может видеть все входящие пакеты до того, как они станут объектом iptables. Как только udhcpc отказывается от обновлений и в отчаянии пытается начать все заново, используя полный обмен (начиная с DISCOVER), ядро создает новую запись conntrack и может еще некоторое время понимать связанные пакеты ...
Конечно же, как только я добавил что-то вроде:
обновления, кажется, работают вечно.
Вам могут пригодиться следующие аргументы tcpdump cmdline:
Примечание:
-vvзапрашивает подробный вывод диссектора.eth0.1мой порт WAN (также интерфейс "NAT снаружи").Интересным атрибутом в пакетах ACK является LT: поле = рекомендуемое / максимальное предоставленное время аренды в секундах. DHCP-запросы отправляются с порта 68 на порт 67. Ответы поступают с порта 67 на порт 68.
источник
openwrt:68 -> dhcpserver:67и ACK будетdhcpserver:67 -> openwrt:68. Это считается установленным и пройдет. Если старое состояние conntrack истекло, это устанавливает новое. Если есть проблема, это может быть только с первоначальным обменом, таким как ОТКРЫТИЕ0.0.0.0:68 -> 255.255.255.255:67и ПРЕДЛОЖЕНИЕdhcpserver:67 -> new-openwrt:68, которое не считается УСТАНОВЛЕННЫМ. Это работает только тогда, когда DHCP обычно обходит iptables с сокетом пакетов в Linux, в противном случае требуется входящее правило, разрешающее пакеты от порта UDP 67 или к порту 68 68.