%EC%9D%84%20%EC%B0%A8%EB%8B%A8%ED%95%98%EB%A9%B4%20%EC%96%B4%EB%96%A4%20%EA%B2%B0%EA%B3%BC%EA%B0%80%20%EB%B0%9C%EC%83%9D%ED%95%A9%EB%8B%88%EA%B9%8C%3F.png)
DHCP를 통해 IP 주소를 받는 서버가 있습니다. 이것은 작동하는 것으로 보이며 연결은 현재로서는 괜찮습니다. 그러나 새 파일을 설치한 후 재부팅하지 않았으므로 /etc/sysconfig/iptablesDHCP 기능이 현재 차단된 연결에 의존하는 경우 다음에 재부팅할 때 당황할 수 있습니다.
내 방화벽이 다음과 같이 나가는 UDP DHCP 연결을 차단하고 있음을 확인했습니다.
[22994.373788] Firewall: *UDP_OUT Blocked* IN= OUT=enup0 SRC=$OUR_IP DST=$DHCP_SERVER_IP LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=53942 DF PROTO=UDP SPT=68 DPT=67 LEN=308 UID=0 GID=0
DHCP 임대 갱신 요청과 같은 일부 DHCP 클라이언트 명령일 수 있습니까?
이 발신 요청을 차단하면 어떻게 되나요? 이것이 DHCP 서버 구현과 관련된 것이라면 RFC 문서에서 이를 차단하지 말라고 요구하는 것일까요?
관련: 부팅 중 네트워크가 시작되기 전이나 후에 방화벽 규칙이 초기화됩니까 /etc/sysconfig/iptables?iptables.service
최대한 차단하고 싶습니다. 그렇지 않으면 여기에 요청하는 대신 허용하겠습니다.
답변1
이 액세스를 차단하면 DHCP 클라이언트가 만료될 때까지 IP 주소 임대를 갱신할 수 없게 됩니다.
임대가 만료되고 클라이언트가 여전히 유니캐스트를 통해 DHCP 서버에 연결할 수 없는 경우 DHCP 클라이언트는 현재 IP 주소를 구성 해제한 다음 브로드캐스트를 사용하여 처음부터 DHCP 요청 프로세스를 시작하므로 패킷 주소는 0.0.0.0이 됩니다. : 68 - > 255.255.255.255:67. 이는 일반적인 IP 주소 지정 규칙을 위반하기 때문에 Linux에서 DHCP 클라이언트는 일반 iptables 필터링 규칙에 의해 차단되지 않는 원시 소켓을 사용해야 합니다. 해당 네트워크 세그먼트에 IP 주소가 심각하게 부족하지 않은 한, DHCP 서버는 브로드캐스트 요청을 수신할 때 시스템에 대해 동일한 IP 주소를 다시 발급할 가능성이 높습니다.
따라서 전반적인 효과는 시스템이 여전히 해당 IP 주소를 가져오지만 시스템의 DHCP 임대가 만료될 때마다 짧지만 완전히 불필요한 IP 연결 오류가 발생할 수 있다는 것입니다.