Тема: Блокиране на dhcp bootp през vpn тунел (Прочетена 2266 пъти)

kip · « -: Jul 09, 2008, 12:20 »

Здравейте на всички.
Ситуацията е следната:

PC1---LAN---|router1:DHCP1,оvpn client|---internet--|router2:оvpn server|---LAN---PC2
   |
   DHCP2
VPN e тип bridge.PC1 си вземат IP-та от DHCP1 на router1, PC2 си вземат IP-та от DHCP2.Целта ми е да блокирам DHCP и BOOTP на router2 така, че PC2 да не пращат заявки през VPN към DHCP1 на router1 и да позват само DHCP2.
Пробвах на router2:
iptables -A INPUT -p udp -i tap+ -d 255.255.255.255 --destination-port 67:68 -j DROP
iptables -A INPUT -i tap+ -p udp -s 0.0.0.0/0 --dport 67 -j DROP
iptables -A INPUT -i tap+ -p udp -s 0.0.0.0/0 --dport 68 -j DROP
Май нещо не мисля както трябва.Помогнете.

Hapkoc · « **Отговор #1 -:** Jul 09, 2008, 14:16 »

На пръв поглед ми прави впечатление следното - INPUT веригата се ползва за пакети, които са предназначени за локалната машина. Пробвай с FORWARD.

kip · « **Отговор #2 -:** Jul 09, 2008, 17:32 »

Пробвах не става.Заявките пак стигат до DHCP1 и той раздава IP на PC2

gat3way · « **Отговор #3 -:** Jul 09, 2008, 18:40 »

Ама ти си bridge-нал VPN интерфейса с някой друг такъв или не?

kip · « **Отговор #4 -:** Jul 10, 2008, 22:22 »

Да VPN e в bridge mode(т.е. да bridge-нат е)

toxigen · « **Отговор #5 -:** Jul 14, 2008, 09:26 »

Сигурен ли си, че правилния интерфейс е tap? Пусни tcpdump последователно на интерфейсите и виж къде минава DHCP заявката. Там после филтрирай.

gat3way · « **Отговор #6 -:** Jul 14, 2008, 09:52 »

Ако е бриджнат, значи трябва да имаш един br0 интерфейс, това е бриджа между VPN интерфейса и eth интерфейса на рутера. Не слагай правила касаещи tap интерфейса, а такива за br. В смисъл когато имаш бридж, дефакто нямаш L3 forwarding, нямаш routing decision за пакетите идващи от tap интерфейса и затова правилата за FORWARD няма да ги match-нат.

alex_c · « **Отговор #7 -:** Jul 14, 2008, 13:19 »

Щом има намесен бридж, не трябва ли да се използва ebtables?
Питам, защото преди време администрирах една смесица между рутер и бридж (няколко от мрежовите мнтерфейси бяха в бриджа, а другите се рутираха) и трябваше с ebtables да се правят разни магии, за да се вади трафик от бриджа и да се маршрутизира.

Best wishes!
Alex

kip · « **Отговор #8 -:** Jul 21, 2008, 14:14 »

След малко четене и прекомпилиране на ядрото за подръжка на ebtables решението е :
ebtables -A FORWARD -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP

Благодаря на всички за коментарите и най-вече на alex_c за насоката към ebtables.

alex_c · « **Отговор #9 -:** Jul 22, 2008, 08:56 »

Радвам се, че съм помогнал!

Best wishes!
Alex

Подобни теми
	Заглавие	Започната от	Отговора	Прегледи	Последна публикация
	dhcp Общ форум	the_black_wind	2	3277	Feb 26, 2005, 15:56 от the_black_wind
	dhcp help Настройка на програми	DarkBoss	6	3826	Mar 18, 2005, 20:05 от DarkBoss
	Конфигуриране на DHCP сървър Настройка на програми	phantomlord	13	9693	Aug 22, 2005, 18:55 от phantomlord
	настройки на dhcp клиент Настройка на програми	vlad_ko	3	3692	Jul 26, 2005, 09:58 от Italianeca
	От IP към DHCP. Настройка на програми	yamahadrums	5	2714	Nov 01, 2005, 15:16 от yamahadrums

Автор Тема: Блокиране на dhcp bootp през vpn тунел (Прочетена 2266 пъти)