Toon posts:

[Linux/IPtables]: Krijg DHCP-server niet gefirewalld

Pagina: 1
Acties:

dinsdag 25 november 2003 15:48

Acties:
  • arnova
  • Registratie: Augustus 2001
  • Laatst online: 12:59

arnova

weet veel, maar niet alles

Topicstarter
Ik heb op een testmachine op mijn werk, een DHCP-server draaien + iptables firewall. Omdat er al een DHCP server in ons segment staat heb ik de DHCP poorten (UDP 67/68) op de testmachine geblokkeerd middels IPtables:

code:
1
2

    $IPTABLES -A INPUT -d 255.255.255.255 -p udp --sport 68 --dport 67 -j DROP
    $IPTABLES -A INPUT -d 255.255.255.255 -p udp --sport 67 --dport 68 -j DROP


Nu wil het rare fenomeen zich voordoen dat de DHCP-daemon op de testmachine nog steeds leases staat uit te delen ondanks dat die porten pot en pot dicht staan. Nu heb ik ergens gelezen dit ISC DHCP-server geen gebruik maakt van de IP-stack maar direct het verkeer op ethernet nivo (layer 2) afvangt. Is dit inderdaad zo? Kan ik hier eventeel nog iets anders aan doen om dit (mooi) op te lossen?

Ctrl4Dkn: ESP32 (Floor) Heat Controller With Daikin (Heatpump) Support - https://github.com/arnova/ctrl4dkn

dinsdag 25 november 2003 15:50

Acties:

Verwijderd

Ik heb niet veel verstand van IPTABLES (ik gebruik gewoon ShoreWall), maar moeten die 255.255.255.255 niet 0.0.0.0 zijn ?

dinsdag 25 november 2003 15:53

Acties:

Verwijderd

begin in ieder geval eens met die -d 255.255.255.255 weg te halen, en kijk of het dan wel werkt, dan kan je hem daarna altijd nog dichter zetten...

dinsdag 25 november 2003 15:58

Acties:

Verwijderd

Waarom zet je niet gewoon voor dat segment of die interface de dhcp uit?
Dat is toch veel makkelijker....

En je redeneert helemaal niet goed, je moet standaard de poorten dicht hebben bij een firewall en de poorten die je nodig hebt open zetten.

Dit is gewoon slecht!

Kijk gewoon eerst is ff naar dit script op deze website
Heel makkelijk te gebruiken en je kunt zelf bepalen welke poorten open moeten!
http://monmotha.mplug.org/firewall/index.php

[ Voor 27% gewijzigd door Verwijderd op 25-11-2003 16:01 ]

dinsdag 25 november 2003 16:01

Acties:
  • arnova
  • Registratie: Augustus 2001
  • Laatst online: 12:59

arnova

weet veel, maar niet alles

Topicstarter
Verwijderd schreef op 25 november 2003 @ 15:53:
begin in ieder geval eens met die -d 255.255.255.255 weg te halen, en kijk of het dan wel werkt, dan kan je hem daarna altijd nog dichter zetten...
Heb ik al geprobeerd (had ik misschien ff moeten zeggen), maar dat werkt ook niet.

Ctrl4Dkn: ESP32 (Floor) Heat Controller With Daikin (Heatpump) Support - https://github.com/arnova/ctrl4dkn

dinsdag 25 november 2003 16:03

Acties:
  • arnova
  • Registratie: Augustus 2001
  • Laatst online: 12:59

arnova

weet veel, maar niet alles

Topicstarter
Verwijderd schreef op 25 november 2003 @ 15:58:
Waarom zet je niet gewoon voor dat segment of die interface de dhcp uit?
Dat is toch veel makkelijker....

En je redeneert helemaal niet goed, je moet standaard de poorten dicht hebben bij een firewall en de poorten die je nodig hebt open zetten.

Dit is gewoon slecht!

Kijk gewoon eerst is ff naar dit script op deze website
Heel makkelijk te gebruiken en je kunt zelf bepalen welke poorten open moeten!
http://monmotha.mplug.org/firewall/index.php
Tuurlijk kan ik gewoon dhcp-server daemon uit zetten. Maar waar het mij nou juist om ging is: waarom die daemon om de firewall heen gaat. Dat het slecht is, ala, is toch een testserver, en ik was niet van plan omdat dit zo te houden.

Ctrl4Dkn: ESP32 (Floor) Heat Controller With Daikin (Heatpump) Support - https://github.com/arnova/ctrl4dkn

dinsdag 25 november 2003 16:05

Acties:

Verwijderd

master_artech schreef op 25 november 2003 @ 16:03:
[...]


Tuurlijk kan ik gewoon dhcp-server daemon uit zetten. Maar waar het mij nou juist om ging is: waarom die daemon om de firewall heen gaat. Dat het slecht is, ala, is toch een testserver, en ik was niet van plan omdat dit zo te houden.
Dat bedoel ik helemaal niet, ik heb thuis ook een dhcp server en dan kun je voor een bepaalde network interface de dhcp aanzetten....ik zou dat uitzoeken in plaats van dat je met je firewall gaat werken!

dinsdag 25 november 2003 16:45

Acties:
  • Stacium
  • Registratie: Februari 2001
  • Niet online

Stacium

Perfect Molecular Chaos

code:
1
2
3
4
5
6

    #server
    $IPTABLES -A INPUT -i $EXT_NIC -d $EXT_IP -p tcp --dport 67 -j DROP
    $IPTABLES -A INPUT -i $EXT_NIC -d $EXT_IP -p udp --dport 67 -j DROP
    #client
    $IPTABLES -A INPUT -i $EXT_NIC -d $EXT_IP -p tcp --dport 68 -j DROP
    $IPTABLES -A INPUT -i $EXT_NIC -d $EXT_IP -p udp --dport 68 -j DROP


dat zou moeten werken (source-port is niet delijk aan de dest-port!!)

maar zoals hierboven al is gemeld, je moet zowiezo geen dhcp draaien op je external-NIC

It seemed like a good idea at the time

dinsdag 25 november 2003 16:54

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 17:04

_JGC_

ISC DHCP zal zich geen ruk aantrekken van een firewall. Mijn bak op school staat ook vrolijk leases af te zeiken (lease is on wrong interface zegt ie dan), terwijl mn bak toch echt een DROP policy heeft, en ik die poorten niet open heb staan.

ISC DHCP heeft ook de optie "socket filtering" nodig in je kernel, misschien als je daar eens op zoekt, dat je duidelijk wordt waarom dat ding gewoon om je firewall heenraust ;)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq