Laisser les requtes DHCP traverser iptables
- Par: jack
- Le: 18.02.2009 20:01:23
- Dans: Reseau Lan
Une fois que vous savez comment DHCP fonctionne, vous pouvez le faire. Cependant, vous devez prendre des précautions sur ce que vous laissez passer ou non. En premier lieu, vous devez savoir que DHCP fonctionne sur le protocole UDP.
Donc, c'est la première chose à voir. En second lieu, vous devez vérifier depuis quelle interface les requêtes sont envoyées et reçues. Par exemple, si votre interface eth0 est activée par DHCP, vous n'autoriserez pas les requêtes DHCP sur eth1. Pour rendre la règle un peu plus précise, vous n'autoriserez que les ports UDP utilisés par DHCP, qui sont les ports 67 et 68.
$IPTABLES -I INPUT -i $LAN_IFACE -p udp --dport 67:68 --sport \67:68 -j ACCEPT
Le trafic depuis et vers les ports 67 et 68 est autorisé, cependant, ce n'est pas un gros problème car ce ne sont que les requêtes des hôtes établissant la connexion depuis les ports 67 et 68 qui sont acceptés.
Cette règle peut, bien sûr, être encore plus restrictive, mais elle semble suffisante pour accepter les requêtes DHCP sans ouvrir de larges failles.
Donc, c'est la première chose à voir. En second lieu, vous devez vérifier depuis quelle interface les requêtes sont envoyées et reçues. Par exemple, si votre interface eth0 est activée par DHCP, vous n'autoriserez pas les requêtes DHCP sur eth1. Pour rendre la règle un peu plus précise, vous n'autoriserez que les ports UDP utilisés par DHCP, qui sont les ports 67 et 68.
$IPTABLES -I INPUT -i $LAN_IFACE -p udp --dport 67:68 --sport \67:68 -j ACCEPT
Le trafic depuis et vers les ports 67 et 68 est autorisé, cependant, ce n'est pas un gros problème car ce ne sont que les requêtes des hôtes établissant la connexion depuis les ports 67 et 68 qui sont acceptés.
Cette règle peut, bien sûr, être encore plus restrictive, mais elle semble suffisante pour accepter les requêtes DHCP sans ouvrir de larges failles.