incapaz de bloquear DHCP e outro tráfego na cadeia INPUT

3

Aqui está a saída do meu comando iptables-save . A última regra e política padrão é DROP qualquer pacote que não corresponda a nada.

Generated by iptables-save v1.4.9 on Wed Aug 3 21:00:05 2011
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [76:6239]
-A INPUT -p -m tcp --dport 8080 -j ACCEPT
-A INPUT -p -m tcp --dport 2222 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP

Mas, surpreendentemente, o DHCP e todos os outros tráfegos estão passando ... Por favor, informe como permitir conexões na porta 8080 e na porta 2222 e descartar tudo o mais.

As regras iptables estão sendo definidas na máquina FedoraRouter . E essa máquina FedoraRouter está executando o Apache e o SSH nas portas 8080 e 2222, respectivamente.

Os clientes FedoraClient e WinXP-Client precisam ter acesso somente a esses serviços. Eu não posso bloqueá-los por IP, porque eu vou estar adicionando em mais computadores no futuro, qualquer coisa diferente de tráfego HTTP e SSH precisa ser descartado em geral.

Com base na configuração atual - Ele está permitindo pacotes DHCP para o roteador, o roteador é de fato executado em DHCP e eu preciso bloqueá-lo.

Obrigado!

    
por Jasdeep Singh 04.08.2011 / 03:06

1 resposta

2

ISC dhcpd , para várias razões bastante irritantes usam soquetes brutos para executar sua E / S de rede. Para outras razões técnicas , os sockets raw omitem iptables de processamento (incluindo o impróprio chamado raw table), o que torna o iptables ineficaz para filtrar o tráfego do servidor DHCP quando o firewall e o host estão na mesma máquina.

Você pode ler sobre soquetes brutos aqui link .

O tráfego DHCP é transmitido de qualquer maneira e não é fácil bloqueá-lo por cliente. Então, por que você simplesmente não desligaria o daemon dhcpd?

    
por 04.08.2011 / 03:37