Bloquer les requêtes DHCP avec iptables

[Tchek]

Bonjour à tous,

Voilà mon problème est simple : j'aimerais bloquer les requêtes DHCP venant de l'interface eth1 sur mon serveur DHCP.

Au préalable, mon serveur DHCP est donc lancé : /etc/init.d/dhcpd start

Ensuite sur le serveur, j'ai mis les règles :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
#Mise à 0 de toutes les règles de pare-feu
iptables -F
iptables -X
 
#Politique "DROP", on supprime par défaut les paquets
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Là, si je n'ajoute aucune règle, normalement RIEN ne doit passer, n'est-ce pas ? Cela sur toutes les interfaces ??
Car là, de fait, le ping ne passe pas, le traceroute non plus, le SSH non plus, le telnet non plus..... Par contre, les requêtes DHCP passent !!!!! Un petit Ethereal sur le serveur sniffant l'interface eth1, et toutes les requêtes DHCP (broadcast, réponse du serveur...) passent, et le noeud arrive à bien se configurer.

J'ai tenté d'ajouter ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
#blocage des ports DHCP 67 et 68
iptables -A INPUT -p udp --sport 67:68 --dport 67:68 -j DROP

Mais ça ne change rien, les requêtes passent toujours.

Qu'en pensez-vous, le problème vient-il du fait que mon serveur DHCP est mal configuré, que se passe-t-il ?

D'avance merci beaucoup, car je n'y comprends plus rien

[gorgonite]

tu ferais mieux de dire sur quelles interfaces ton serveur dhcp doit écouter

[Tchek]

Ouep, donc le serveur DHCP doit écouter sur l'interface eth1 (Wifi). L'interface eth0 est désactivée et il n'y a pas de câble de branché. Seule l'interface eth1 est donc active sur chacun des PC.

J'utilise 2PC :

-PC 1 : serveur DHCP
-PC 2 : le client

Sur les deux PC, j'ai mis les règles de firewall ci-dessus (post précédent), donc déjà à priori la requête ne devrait de toute façon pas partir du client et ne devrait pas arriver au PC1. Mais le PC1 non seulement la reçoit, mais en plus y répond, et le client arrive à se configurer tranquillement !!

Pour que le serveur n'écoute que sur eth1, j'ai lancé le daemon dhcpd via dhcpd -i eth1 au lieu de faire /etc/init.d/dhcpd start

Enfin, au cas où, mon fichier dhcpd.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
ddns-update-style interim;
ignore client-updates;
 
subnet 192.168.16.0 255.255.255.0 {
           range 192.168.16.65 192.168.16.75;
           option routers 192.168.16.64;
           option domain-name-servers 192.168.16.64;
           option domain-name "mondomaine.fr";
           option broadcast-address 192.168.16.255;
           default-lease-time 86400;
           max-lease-time 604800;
}

Dernière chose : quand je fais les requêtes, sur Ethereal apparaissent des paquets "bizarres", je ne m'explique pas pourquoi ces paquets sont là :

- ICMPv6 Router Solicitation
- ICMPv6 Multicast Listener Report Message v2
- ICMPv6 neighbour Solicitation

Enfin... Quelqu'un vient de m'indiquer que les requêtes DHCP passaient par des Raw Sockets, qui n'étaient pas filtrées par netfilter, et que par conséquent on ne pouvait pas filtrer les requetes DHCP par ce biais. Avez-vous une idée là dessus ? Je m'explique d'abord sur pourquoi je veux bloquer. Voici ce que l'on veut faire.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Client eth1 ------- DHCRelay eth1 ------- Serveur DHCP eth1

Tous les PC sont en Wifi (eth0 désactivé), dans une même salle (pas le choix). Et on voudrait forcer le client à faire passer ses requetes DHCP par le relais. Donc j'ai voulu interdire au niveau du serveur que le client fasse une requête directe à celui-ci, voilà. Donc j'ai pensé à un firewall, mais ça ne semble pas être possible, donc avez-vous une idée ?

Merci d'avance !!!