problem s BINDem / dhclient

Dan Lukes dan at obluda.cz
Mon Apr 29 00:37:35 CEST 2019


On 28.4.2019 23:34, Miroslav Lachman wrote:
>> kdyz interface adresu nema, odchazi pozadavek z 0.0.0.0 na 
>> 255.255.255.255
>> kdyz ji ma, tak odchazi z te, kterou ma primo na adresu DHCP serveru, 
>> ktery minule adresu pridelil
>>
>> To je pravdepodobny rezim prace DHCP klienta, prestoze jsou mozne i 
>> jine varianty.
>>
>> No a firewall propousti jen ty prvni pakety ...
> 
> Na firewallu nemam zadne pravidlo, ktere by jmenovite povolovalo cokoliv 
> na DHCP portech 67 a 68. I tak to adresu dostane.
> Predpokladam, ze je to na zaklade pravidla, ktere povoluje odchozi UDP s 
> keep state:
> pass out on bge0 inet proto udp all keep state

To vypada jaki 'IPFilter' syntaxe. Ja vim, ze ipf tu je s nami uz hodne 
dlouho, ale zatim jsem tak nejak nenasel duvod na nej z ipfw prejit ergo 
ho nejak do hloubky nastudovat. A obecne jsem, u zadneho firewallu, 
neprisel na chut statefull filtrovani.

I tak se mi ale nezda, ze by tohle pravidlo mohlo zajistit obousmerny 
pruchod DHCP paketu.

Obavam se, ze 'keep state' zaridi, ze z "protismeru" jsou dovoleny 
pakety kde zdrojove a cilove adresy a portu jsou navzajem prohozeny. No 
to ale u DHCP casto neplati. Dotaz odchazi z 0.0.0.0:67 na 
255.255.255.255:68, ale vraci se z IP adresy DHCP serveru na IP adresu 
tazatele (ktery ji jeste nezna!) pripadne take na broadcast.

> Zkusmo jsem pridal jmenovita pravidla, povolujici obousmerny provoz mezi 
> porty 67 a 68
> 
> pass in quick on bge0 proto udp from any port = 67 to any port = 68 keep 
> state
> pass out quick on bge0 proto udp from any port = 68 to any port = 67 
> keep state

Pravidlo na ktere jsi se odvolalaval nahore obsahuje 'pass out' az 
kontextu se mi zda, ze ma povolovat vsechny odchozi pakety - tedy pakety 
opoustejici stroj smerem "do dratu". Pak ale tyhle dve pravidla nejspis 
nemuzou byt dobre. DHCP klient posila pakety "out" - z portu 67 na port 
68 serveru. No a server odpovida "in" a portu 68 na port 67. Me se zda, 
ze to mas poskladane obracene.

No a ten keep state je tam patrne uplne navic, protoze, jak uz vyse 
zmineno, DHCP odpoved nemusi prichazet z adresy na kterou sel dotaz ani 
nemusi byt adresovana na IP ze dotaz odesel.

Ale ani prohozeni 'in' a 'out' neni zarukou, ze to bude spravne. Nevidim 
v pravidlech 'quick', takze pruchod paketu muze stale zakazat i nejake 
pozdejsi pravidlo - a netusim, co s tim udel;a ta "stavovost".


> Ale v logu se mi zase objevilo dhclient[40538]: send_packet: Permission denied.

To podporuje moji hypotezu, ze to nemas dobre ;-)

Dan


More information about the Users-l mailing list