@Xproz
Пытаюсь постигнуть компьютерные сети

Почему работает DHCP у Mikrotik?

Узнал, что DHCP работает по UDP на порту 67 (у сервера) и 68 (у клиента). Чисто ради практики решил на Mikrotik дропать поступающие в Микротик пакеты на порт 67 UDP и выходящие из Микротик пакеты на порт 68. В итоге получил следующее:
ip firewall filter add chain=input protocol=udp dst-port=67 action=drop
ip firewall filter add chain=output protocol=udp dst-port=68 action=drop


Пробовал эти команды и отдельно, и вместе, но устройства все равно почему-то получают динамически всю информацию: IP, маску, ДНС и шлюз. Почему так?
Буду благодерен!
  • Вопрос задан
  • 964 просмотра
Решения вопроса 1
@victor_skoblin
Всё это происходит внутри бриджа, скорее всего. Значит, надо эти же правила ставить в bridge - filter. Без дополнительных настроек фаервол не действует на бридж.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@powerlift
В RouterOS DHCP-пакеты попадают в DHCP-клиент и в DHCP-сервер до попадания в IP Firewall, если речь идёт об IPv4.
Можно очень долго искать на форумах и в документации Mikrotik информацию про эту особенность, но не найти. Но выявляется эта особенность довольно легко на самом простом лабораторном стенде, что я и сделал во времена, когда только начинал администрировать оборудование Mikrotik.

Выбранный вами в качестве решения ответ Victor вводит в заблуждение - Bridge Filter и IP Firewall не связаны между собой. Просто в случае когда DHCP-сервер/клиент находится на Bridge-интерфейсе, то есть DHCP-трафик проходит через Bridge, то появляются два возможных варианта фильтровать DHCP-пакеты в Bridge:
1) использовать Bridge Filter для фильтрации
2) включить прохождение всего трафика Bridge через IP Firewall /interface bridge settings set use-ip-firewall=yes , что позволит фильтровать DHCP-пакеты непосредственно в IP Firewall

В IPv6 ситуация уже обстоит иначе - DHCPv6-пакеты сначала проходят через IPv6 Firewall прежде чем попасть в DHCP-клиент. С DHCP-сервером не проверял, но предполагаю, что аналогично.
Ответ написан
@Drno
а указать интерфейс? и отключить fasstrack ?
Ответ написан
@AUser0
Чем больше знаю, тем лучше понимаю, как мало знаю.
70-C9-4E-54-03-2F, Загляните в Tools -> Packet Sniffer. Впишите туда "UDP" и 67-ой порт, и смотрите, какие пакеты откуда-куда приходят-уходят. Если правила работают - то будет логирован только приход пакетов на физический интерфейс, но не ответы на них... Поможет найти "мокрый пол".

P.S. Ну и логирование работы DHCP Server, тоже полезно видеть.

P.P.S. DHCP рассылаются броадкастом, может на них отвечает кто-то другой?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы