DHCPDISCOVER колдовство?

Question

[tmr]

Коллеги, а что за колдовство скрыто в пакете dhcpdiscover, что правило iptables -A INPUT -p udp --dport 67 -j DROP не отрабатывает и пакет идет дальше по цепочке?

Answer 1

[joneleth]

Показывайте правила целиком, iptables -nvL

Answer 2

[Андрей Кравчук]

Сервер отвечает клиентам на 68 порт

Comments

[tmr]

Так был бы сервер, я бы подумал на raw сокеты. Но нет — dhcp сервер не поднят и дисковеры слушать некому.

[Андрей Кравчук]

Белиберда какая-то. Опишите на словах, что вы хотите сделать.

[tmr]

Я хочу дропнуть DHCPDISCOVER пакет в начале цепочки INPUT, что бы в конце цепочки он не попал в -j LOG.

[Андрей Кравчук]

del

[Андрей Кравчук]

На абсолютно чистой машине с debian создал правило. записывающее в лог все входящие udp пакеты:
iptables -A INPUT -p udp -j LOG --log-prefix 'udp packet '

С соседней машины запросил адрес у dhcp сервера:
Sending packet: op=BOOTREQUEST chaddr=01:1C:80:02:57:95 hops=0 xid=4CED4A2D secs=0 flags=8000 ciaddr=0.0.0.0 yiaddr=0.0.0.0 siaddr=0.0.0.0 giaddr=0.0.0.0 sname= file= 1 options: dhcpMessageType: discover

В логе появилось:
Jun 14 22:21:35 debian-test kernel: [942852.467792] udp packet IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:e8:40:f2:11:49:59:08:00 SRC=192.168.1.1 DST=255.255.255.255 LEN=272 TOS=0x00 PREC=0x00 TTL=128 ID=29366 PROTO=UDP SPT=68 DPT=67 LEN=252 Jun 14 22:21:35 debian-test kernel: [942852.468734] udp packet IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1b:21:62:c5:0d:08:00 SRC=192.168.2.1 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=24785 PROTO=UDP SPT=67 DPT=68 LEN=308

Создал правило блокировки входящих udp на порту 67:
iptables -I INPUT 1 -p udp --dport 67 -j DROP

Опять отправил dhcpdiscovery запрос. В логах пусто. Может вы что-то не так делаете?

[tmr]

В логах я вижу DHCPOFFER пакет, это не дискавер. Собственно, оффер-пакеты я тоже отбрасываю успешно. Не могли бы вы повторить тоже самое с дискавер-пакетом? Возможно я что-то делаю не так, но я уже столько раз пересматривал правила, что просто уверен что делаю всё так :)

[Андрей Кравчук]

Там два пакета. И и запрос и предложение. После правила блокирования -p udp --dport 67 пакета запроса в логах нет, только ответ сервера остался.

[tmr]

Действительно, не обратил внимание на порядок портов. Однако ваш клиент указал свой последний ip в поле адреса, мне же сыпятся пакеты с 0.0.0.0. Не могли бы вы попросить dhclient освободить адрес, перезапустить демона и запросить адрес заново?

[Андрей Кравчук]

Удалил правило блокировки, в логах появилось вот это:
Jun 14 23:06:25 debian-test kernel: [945542.380629] udp packet IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:15:5d:02:01:01:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=362 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=342

Обратно добавил правило блокировки, в логах пакета discovery нету. Покажите ваши правила.

[tmr]

Ок, спасибо огромное, я уже было сдался.
Правила простые: инпут по умолчанию дроп, затем дроп мусора, затем акцепт нужного, затем лог остального. Извините, сами правила показать не могу, не под рукой.

[tmr]

А будьте добры — скиньте дамп такого пакета, я побитно сравню на всякий случай.

[Андрей Кравчук]

tcpdump udp -lX | tee out.log

db.tt/Bn7NKQdh

Answer 3

[tmr]

Я поясню — в начале цепочки INPUT я прописываю правила отбрасывания всякого сетевого мусора на внешнем интерфейсе. Так вот — отбросить DHCPDISCOVER мне ни в какую не удается, ни по каким из параметров пакета, пакет упорно продолжает идти дальше по цепочке, при этом iptables показывает 0 срабатываний, как будто бы пакет не подпадает под правило. Я уже весь гугль сломал в поисках ответа. Поскольку идей у меня уже 0, предполагаю какую то особенную обработку этого пакета ядром или, быть может, баг\фичу сетевого интерфейса или что-то типа того. Возможно кто-то с таким уже сталкивался и знает куда копать.

Comments

[GloooM]

Может это связно с тем, что дискавер бывает широковещательным, плюс не имеет адреса отправителя, и соответственно в инпут вообще не попадает? Может быть его нужно где-то в PREROUTING дропать?

Answer 4

[Александр]

IPTABLES -A INPUT -i interface -dport 67:68 -sport 67:68 -j DROP