problem s BINDem / dhclient
Dan Lukes
dan at obluda.cz
Mon Apr 29 00:37:35 CEST 2019
On 28.4.2019 23:34, Miroslav Lachman wrote:
>> kdyz interface adresu nema, odchazi pozadavek z 0.0.0.0 na
>> 255.255.255.255
>> kdyz ji ma, tak odchazi z te, kterou ma primo na adresu DHCP serveru,
>> ktery minule adresu pridelil
>>
>> To je pravdepodobny rezim prace DHCP klienta, prestoze jsou mozne i
>> jine varianty.
>>
>> No a firewall propousti jen ty prvni pakety ...
>
> Na firewallu nemam zadne pravidlo, ktere by jmenovite povolovalo cokoliv
> na DHCP portech 67 a 68. I tak to adresu dostane.
> Predpokladam, ze je to na zaklade pravidla, ktere povoluje odchozi UDP s
> keep state:
> pass out on bge0 inet proto udp all keep state
To vypada jaki 'IPFilter' syntaxe. Ja vim, ze ipf tu je s nami uz hodne
dlouho, ale zatim jsem tak nejak nenasel duvod na nej z ipfw prejit ergo
ho nejak do hloubky nastudovat. A obecne jsem, u zadneho firewallu,
neprisel na chut statefull filtrovani.
I tak se mi ale nezda, ze by tohle pravidlo mohlo zajistit obousmerny
pruchod DHCP paketu.
Obavam se, ze 'keep state' zaridi, ze z "protismeru" jsou dovoleny
pakety kde zdrojove a cilove adresy a portu jsou navzajem prohozeny. No
to ale u DHCP casto neplati. Dotaz odchazi z 0.0.0.0:67 na
255.255.255.255:68, ale vraci se z IP adresy DHCP serveru na IP adresu
tazatele (ktery ji jeste nezna!) pripadne take na broadcast.
> Zkusmo jsem pridal jmenovita pravidla, povolujici obousmerny provoz mezi
> porty 67 a 68
>
> pass in quick on bge0 proto udp from any port = 67 to any port = 68 keep
> state
> pass out quick on bge0 proto udp from any port = 68 to any port = 67
> keep state
Pravidlo na ktere jsi se odvolalaval nahore obsahuje 'pass out' az
kontextu se mi zda, ze ma povolovat vsechny odchozi pakety - tedy pakety
opoustejici stroj smerem "do dratu". Pak ale tyhle dve pravidla nejspis
nemuzou byt dobre. DHCP klient posila pakety "out" - z portu 67 na port
68 serveru. No a server odpovida "in" a portu 68 na port 67. Me se zda,
ze to mas poskladane obracene.
No a ten keep state je tam patrne uplne navic, protoze, jak uz vyse
zmineno, DHCP odpoved nemusi prichazet z adresy na kterou sel dotaz ani
nemusi byt adresovana na IP ze dotaz odesel.
Ale ani prohozeni 'in' a 'out' neni zarukou, ze to bude spravne. Nevidim
v pravidlech 'quick', takze pruchod paketu muze stale zakazat i nejake
pozdejsi pravidlo - a netusim, co s tim udel;a ta "stavovost".
> Ale v logu se mi zase objevilo dhclient[40538]: send_packet: Permission denied.
To podporuje moji hypotezu, ze to nemas dobre ;-)
Dan
More information about the Users-l
mailing list