Re: problem s BINDem / dhclient

Sun, 28 Apr 2019 15:42:03 -0700 

On 28.4.2019 23:34, Miroslav Lachman wrote:
kdyz interface adresu nema, odchazi pozadavek z 0.0.0.0 na 255.255.255.255 kdyz ji ma, tak odchazi z te, kterou ma primo na adresu DHCP serveru, ktery minule adresu pridelil 


To je pravdepodobny rezim prace DHCP klienta, prestoze jsou mozne i 
jine varianty.


No a firewall propousti jen ty prvni pakety ...



Na firewallu nemam zadne pravidlo, ktere by jmenovite povolovalo cokoliv 
na DHCP portech 67 a 68. I tak to adresu dostane.
Predpokladam, ze je to na zaklade pravidla, ktere povoluje odchozi UDP s 
keep state:

pass out on bge0 inet proto udp all keep state



To vypada jaki 'IPFilter' syntaxe. Ja vim, ze ipf tu je s nami uz hodne 
dlouho, ale zatim jsem tak nejak nenasel duvod na nej z ipfw prejit ergo 
ho nejak do hloubky nastudovat. A obecne jsem, u zadneho firewallu, 
neprisel na chut statefull filtrovani.



I tak se mi ale nezda, ze by tohle pravidlo mohlo zajistit obousmerny 
pruchod DHCP paketu.



Obavam se, ze 'keep state' zaridi, ze z "protismeru" jsou dovoleny 
pakety kde zdrojove a cilove adresy a portu jsou navzajem prohozeny. No 
to ale u DHCP casto neplati. Dotaz odchazi z 0.0.0.0:67 na 
255.255.255.255:68, ale vraci se z IP adresy DHCP serveru na IP adresu 
tazatele (ktery ji jeste nezna!) pripadne take na broadcast.



Zkusmo jsem pridal jmenovita pravidla, povolujici obousmerny provoz mezi 
porty 67 a 68



pass in quick on bge0 proto udp from any port = 67 to any port = 68 keep 
state
pass out quick on bge0 proto udp from any port = 68 to any port = 67 
keep state



Pravidlo na ktere jsi se odvolalaval nahore obsahuje 'pass out' az 
kontextu se mi zda, ze ma povolovat vsechny odchozi pakety - tedy pakety 
opoustejici stroj smerem "do dratu". Pak ale tyhle dve pravidla nejspis 
nemuzou byt dobre. DHCP klient posila pakety "out" - z portu 67 na port 
68 serveru. No a server odpovida "in" a portu 68 na port 67. Me se zda, 
ze to mas poskladane obracene.



No a ten keep state je tam patrne uplne navic, protoze, jak uz vyse 
zmineno, DHCP odpoved nemusi prichazet z adresy na kterou sel dotaz ani 
nemusi byt adresovana na IP ze dotaz odesel.



Ale ani prohozeni 'in' a 'out' neni zarukou, ze to bude spravne. Nevidim 
v pravidlech 'quick', takze pruchod paketu muze stale zakazat i nejake 
pozdejsi pravidlo - a netusim, co s tim udel;a ta "stavovost".




Ale v logu se mi zase objevilo dhclient[40538]: send_packet: Permission denied.


To podporuje moji hypotezu, ze to nemas dobre ;-)

Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l






















					Odpovedet emailem