|
Титла: Блокиране на dhcp bootp през vpn тунел Публикувано от: kip в Jul 09, 2008, 12:20 Здравейте на всички.
Ситуацията е следната: PC1---LAN---|router1:DHCP1,оvpn client|---internet--|router2:оvpn server|---LAN---PC2 | DHCP2 VPN e тип bridge.PC1 си вземат IP-та от DHCP1 на router1, PC2 си вземат IP-та от DHCP2.Целта ми е да блокирам DHCP и BOOTP на router2 така, че PC2 да не пращат заявки през VPN към DHCP1 на router1 и да позват само DHCP2. Пробвах на router2: iptables -A INPUT -p udp -i tap+ -d 255.255.255.255 --destination-port 67:68 -j DROP iptables -A INPUT -i tap+ -p udp -s 0.0.0.0/0 --dport 67 -j DROP iptables -A INPUT -i tap+ -p udp -s 0.0.0.0/0 --dport 68 -j DROP Май нещо не мисля както трябва.Помогнете. Титла: Блокиране на dhcp bootp през vpn тунел Публикувано от: Hapkoc в Jul 09, 2008, 14:16 На пръв поглед ми прави впечатление следното - INPUT веригата се ползва за пакети, които са предназначени за локалната машина. Пробвай с FORWARD.
Титла: Блокиране на dhcp bootp през vpn тунел Публикувано от: kip в Jul 09, 2008, 17:32 Пробвах не става.Заявките пак стигат до DHCP1 и той раздава IP на PC2
Титла: Блокиране на dhcp bootp през vpn тунел Публикувано от: gat3way в Jul 09, 2008, 18:40 Ама ти си bridge-нал VPN интерфейса с някой друг такъв или не?
Титла: Блокиране на dhcp bootp през vpn тунел Публикувано от: kip в Jul 10, 2008, 22:22 Да VPN e в bridge mode(т.е. да bridge-нат е)
Титла: Блокиране на dhcp bootp през vpn тунел Публикувано от: toxigen в Jul 14, 2008, 09:26 Сигурен ли си, че правилния интерфейс е tap? Пусни tcpdump последователно на интерфейсите и виж къде минава DHCP заявката. Там после филтрирай.
Титла: Блокиране на dhcp bootp през vpn тунел Публикувано от: gat3way в Jul 14, 2008, 09:52 Ако е бриджнат, значи трябва да имаш един br0 интерфейс, това е бриджа между VPN интерфейса и eth интерфейса на рутера. Не слагай правила касаещи tap интерфейса, а такива за br. В смисъл когато имаш бридж, дефакто нямаш L3 forwarding, нямаш routing decision за пакетите идващи от tap интерфейса и затова правилата за FORWARD няма да ги match-нат.
Титла: Блокиране на dhcp bootp през vpn тунел Публикувано от: alex_c в Jul 14, 2008, 13:19 Щом има намесен бридж, не трябва ли да се използва ebtables?
Питам, защото преди време администрирах една смесица между рутер и бридж (няколко от мрежовите мнтерфейси бяха в бриджа, а другите се рутираха) и трябваше с ebtables да се правят разни магии, за да се вади трафик от бриджа и да се маршрутизира. Best wishes! Alex Титла: Блокиране на dhcp bootp през vpn тунел Публикувано от: kip в Jul 21, 2008, 14:14 След малко четене и прекомпилиране на ядрото за подръжка на ebtables решението е :
ebtables -A FORWARD -i tap0 -p IPv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP Благодаря на всички за коментарите и най-вече на alex_c за насоката към ebtables. Титла: Блокиране на dhcp bootp през vpn тунел Публикувано от: alex_c в Jul 22, 2008, 08:56 Радвам се, че съм помогнал!
Best wishes! Alex |