Udv Mindenkinek! A problemam csak annyibol zorp specifikus, hogy itthon szeretnek egy gpl zorpot osszerakni, probalgatni. Egyenlore meg csak egy halokartya van a gepben. Kene egy dhcp szerver a belso lan fele. Felraktam a dhcp szervert. Bekonfiguraltam az ip tables-t igy: # iptables -vnL Chain INPUT (policy DROP 18 packets, 4265 bytes) pkts bytes target prot opt in out source destination 250 19898 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 192.168.200.0/24 0.0.0.0/0 tcp dpt:22 flags:0x16/0x02 18 4265 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `PF: filter/input DROP' Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 322 packets, 45919 bytes) pkts bytes target prot opt in out source destination Velemenyem szerint nem kene tudnia a dhcp szervernek ip cimet kiosztania, az iptables alapjan. De megis sikerul neki. A syslog-ba ez kerul: Feb 28 22:36:31 merlin-new dhcpd-2.2.x: DHCPDISCOVER from 00:08:02:6e:98:b5 via eth0 Feb 28 22:36:31 merlin-new kernel: PF: filter/input DROPIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:08:02:6e:98:b5:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=466 PROTO=UDP SPT=68 DPT=67 LEN=308 Feb 28 22:36:32 merlin-new dhcpd-2.2.x: DHCPOFFER on 192.168.200.60 to 00:08:02:6e:98:b5 via eth0 Feb 28 22:36:32 merlin-new dhcpd-2.2.x: DHCPREQUEST for 192.168.200.60 from 00:08:02:6e:98:b5 via eth0 Feb 28 22:36:32 merlin-new kernel: PF: filter/input DROPIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:08:02:6e:98:b5:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=336 TOS=0x00 PREC=0x00 TTL=128 ID=467 PROTO=UDP SPT=68 DPT=67 LEN=316 Feb 28 22:36:32 merlin-new dhcpd-2.2.x: DHCPACK on 192.168.200.60 to 00:08:02:6e:98:b5 via eth0 Feb 28 22:36:32 merlin-new kernel: PF: filter/inbound ESTABIN=eth0 OUT= MAC=00:a0:24:32:37:4a:00:08:02:6e:98:b5:08:00 SRC=192.168.200.60 DST=192.168.200.11 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=468 DF PROTO=ICMP TYPE=0 CODE=0 ID=37921 SEQ=0 Ugy tunik, hogy az iptables eldobalja a dhcpnek szolo csomagokat, de a dhcp szerver megis megkapja. Tudna valaki segiteni? (A tproxy es a nat tablakban minden policy ACCPET) Udv: Kucsera Laszlo
On Tue, 2005-03-01 at 11:36 +0100, Qcsera wrote:
Velemenyem szerint nem kene tudnia a dhcp szervernek ip cimet kiosztania, az iptables alapjan. De megis sikerul neki. A syslog-ba ez kerul:
Az alapjan, amit mutattal, mint csomagszuro, valoban nem lenne szabad bejonnie.
Feb 28 22:36:31 merlin-new kernel: PF: filter/input DROPIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:08:02:6e:98:b5:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=466 PROTO=UDP SPT=68 DPT=67 LEN=308
Egy probat mindenkeppen megtennek, bar elvileg ez nem lehet baj: tegyel meg az input chain vegere egy DROP-ot is.
Feb 28 22:36:32 merlin-new kernel: PF: filter/inbound ESTABIN=eth0 OUT= MAC=00:a0:24:32:37:4a:00:08:02:6e:98:b5:08:00 SRC=192.168.200.60 DST=192.168.200.11 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=468 DF PROTO=ICMP TYPE=0 CODE=0 ID=37921 SEQ=0
Ilyen logolo sor nem is volt a konfigodban, akkor hogyhogy ilyen jon a logba?? MCS
Qcsera wrote:
Ugy tunik, hogy az iptables eldobalja a dhcpnek szolo csomagokat, de a dhcp szerver megis megkapja. Tudna valaki segiteni? (A tproxy es a nat tablakban minden policy ACCPET)
A DHCP-t nem tudod iptables-szel eldobatni, mert nem IP protokollt hasznal (a bootp-t dobja el a csomagszurod, nem a DHCP-t), hanem ethernet csomag szintjen mukodik. -- Gellér Sándor wildy@balabit.hu
On Tue, 2005-03-01 at 11:48 +0100, Gellér Sándor wrote:
Qcsera wrote:
Ugy tunik, hogy az iptables eldobalja a dhcpnek szolo csomagokat, de a dhcp szerver megis megkapja. Tudna valaki segiteni? (A tproxy es a nat tablakban minden policy ACCPET)
A DHCP-t nem tudod iptables-szel eldobatni, mert nem IP protokollt hasznal (a bootp-t dobja el a csomagszurod, nem a DHCP-t), hanem ethernet csomag szintjen mukodik.
illetve tudtommal raw socketeket hasznal, amit mindenkeppen latni fog (tcpdump-olni is tudsz, akkor is ha minden-t elDROP-olsz) -- Bazsi
participants (4)
-
Balazs Scheidler
-
Gellér Sándor
-
Major Csaba
-
Qcsera