Рейтинг:0

Server

Можно ли заблокировать трафик dhcp с помощью iptables?

user6758

20.10.2022, 19:18

У меня есть два устройства со встроенным Linux. Один из них (машина A) имеет два сетевых интерфейса: eth, который используется для соединения машин друг с другом, и интерфейс wlan для подключения к маршрутизатору через WiFi. Вторая машина (B) имеет только один интерфейс eth. Моя цель — разрешить доступ к сетям Wi-Fi на машине B. Я использовал некоторые правила iptables для фильтрации пакетов с машины A на машину B, и это работает. Теперь мне нужно заблокировать трафик dhcp на первой машине, чтобы он не достигал второй машины. Я искал некоторые правила iptables, чтобы сделать это, но обнаружил, что с iptables это невозможно. Есть ли другой способ заблокировать этот трафик?

Спасибо заранее за любую помощь.

249

1 + 7

линукс

вай фай

iptables

мдадм

anx

20.10.2022, 19:22

Подождите, что вы хотите: подключить интерфейсы или запретить пересылку трафика с одного на другой?

Ответить

user6758

20.10.2022, 19:27

@anx Я хотел бы заблокировать только трафик dhcp с машины A на машину B или, точнее, между интерфейсами wlan и eth на машине A.

Ответить

vidarlo

20.10.2022, 19:58

Это пахнет [XY-проблемой](https://xyproblem.info/). Когда одним из шагов, который вам требуется, является блокировка DHCP, вы, вероятно, где-то ошибаетесь.

Ответить

A.B

20.10.2022, 22:35

Чтобы устранить двусмысленность, можете ли вы сказать, настроена ли машина А как точка доступа или как простой беспроводной клиент? И добавить в ответ для каждого устройства вывод этих команд (некоторые будут возвращать некоторые результаты из предыдущего, но это все еще необходимо)? `ip -br ссылка; ip -br адрес; ip route`, затем также `ip -br link show type bridge` и, наконец, `ip -br link show type bridge_slave`.

Ответить

vidarlo

20.10.2022, 22:54

@A.B он пишет, что A подключается к маршрутизатору, что, вероятно, означает, что это точка доступа ...

Ответить

TomTom

22.10.2022, 13:26

«Когда одним из шагов, который вам требуется, является блокировка DHCP, вы, вероятно, где-то ошибаетесь». - не обязательно. Мошеннические DHCP-серверы — известная проблема. Вот почему, например, в Hyper-V есть механизм, блокирующий виртуальные машины от работы в качестве DHCP (если только они не отключены в конфигурации). У IBM когда-то была проблема, что люди просто настраивали DHCP-серверы для тестирования, а затем части сети получали эти IP-адреса. Следовательно, фильтрация имеет БОЛЬШОЙ смысл, если только вы не можете зафиксировать, что никто не подключает мошеннический DHCP-сервер где-либо.

Ответить

vidarlo

22.10.2022, 14:00

@TomTom Я *полностью* согласен с вашим комментарием. Я более конкретно думал о проблеме, представленной здесь, с двухточечной связью между двумя устройствами ... Блокировка неизвестных хостов, действующих как DHCP, является разумной частью конфигурации сети для сети с несколькими устройствами.

Ответить

Рейтинг:2

Server

vidarlo

20.10.2022, 19:54

Я считаю, что это более или менее установка, которую вы себе представляете. А подключается к WiFi и получает IP-адрес. B подключен к A через Ethernet и имеет свои собственные (частные RFC1918) IP-адреса.

Вы хотите, чтобы B достигал устройств в WiFi.

Теперь A использует DHCP для получения IP-адреса на интерфейсе WiFi. Но он не перенаправляет DHCP на разные интерфейсы, если вы не используете прокси-сервер DHCP. Кроме того, клиенты WLAN, как правило, не могут представлять более одного MAC-адреса, поэтому каким-то образом вам придется назначить дополнительный IP-адрес для A или сделать так, чтобы A представлял трафик B в WiFi.

легкий способ сделать это - сделать трафик NAT, который исходит из Ethernet, и перенаправить его на Wi-Fi. Это то, что делает ваш домашний маршрутизатор, и он позволит B общаться с устройствами (и Интернетом) по WiFi. Устройства в этой сети будут считать, что трафик исходит от A, поскольку они вообще не видят B.

О том, как использовать NAT, см., например, этот вопрос.

Вы не должны пытаться клонировать адреса или любые подобные глупые идеи. IP должны быть уникальными.

0 + 0

Admin

Этот вопрос на других языках:

EN: Is it possible to block dhcp traffic using iptables?

TH: เป็นไปได้ไหมที่จะบล็อกทราฟฟิก dhcp โดยใช้ iptables

RO: Este posibil să blocați traficul dhcp folosind iptables?

RU: Можно ли заблокировать трафик dhcp с помощью iptables?

VI: Có thể chặn lưu lượng dhcp bằng iptables không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.