两个 DHCP 服务器，为其中一个阻止客户端？

Question

两个 DHCP 服务器，为其中一个阻止客户端？

我正在构建一个位于不同 VLAN 上的 kickstart 网络，该网络使用自己的 DHCP 服务器。出于某种原因，我的 kickstart 客户端不断从我的主 DHCP 服务器获取分配的 IP。

我设置它的方式是我在这个路由器上有一个主 DHCP 服务器：

192.168.15.1

Run Code Online (Sandbox Code Playgroud)

连接到该 DHCP 服务器的是 IP 为 192.168.15.2 的交换机。我的 kickstart (Scientific Linux) 服务器通过两个端口连接到该交换机：

端口 2 - kickstart 服务器通过 eth0 与生产网络的其余部分通信。在该接口上分配给服务器的 IP 是 192.168.15.100（在 eth0 上）。详情如下：

Interface: eth0
IP: 192.168.15.100
Netmask: 255.255.255.0
Gateway: 192.168.15.1

Run Code Online (Sandbox Code Playgroud)

端口 7 - 拥有自己的 VLAN ID（以及端口 8）。kickstart 服务器通过 IP 172.16.15.100（在 eth1 上）连接到该端口。再次，细节是：

Interface: eth1
IP: 172.16.15.100
Netmask: 255.255.255.0
Gateway: none

Run Code Online (Sandbox Code Playgroud)

kickstart 服务器运行自己的 DHCP 服务器并通过 eth1 分配它们。大多数 kick start 是通过端口 8 在 kickstart VLAN 上构建的。为了防止 kickstart DHCP 服务器通过生产网络分配地址，我的路由设置如下：

route add -host 255.255.255.255 dev eth1

Run Code Online (Sandbox Code Playgroud)

此时，客户端不断从 192.168.15.1 DHCP 服务器获取分配 IP。我需要找出一种方法来阻止客户端请求到达该 DHCP。应该注意的是，我也在 kickstart 服务器上构建了 KVM 主机，所以我需要这些 KVM 能够在我解决这个特定问题后通过桥接网络从 192.168.15.1 DHCP 服务器获取 DHCP 请求。（目前，它们通过 NAT 进行通信）。

那么如何解决这个问题呢？通过 iptables 或某种路由，我需要放入？

我试图限制通过该接口上的 IPtables 请求，允许 172.16.15.x 网络的 DHCP 请求：

-A INPUT -i eth1 -s 172.16.15.0/24 -p udp -m udp --dport 69 -j ACCEPT
-A INPUT -i eth1 -s 172.16.15.0/24 -p tcp -m tcp --dport 69 -j ACCEPT
-A INPUT -i eth1 -s 172.16.15.0/24 -p udp -m udp --dport 68 -j ACCEPT
-A INPUT -i eth1 -s 172.16.15.0/24 -p tcp -m tcp --dport 68 -j ACCEPT
-A INPUT -i eth1 -s 172.16.15.0/24 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i eth1 -s 172.16.15.0/24 -p tcp -m tcp --dport 67 -j ACCEPT

Run Code Online (Sandbox Code Playgroud)

并拒绝来自 192.168.15.x 网络的 eth1 分配：

-A FORWARD -o eth1 -s 192.168.15.0/24 -p udp -m udp --dport 69 -j REJECT
-A FORWARD -o eth1 -s 192.168.15.0/24 -p tcp -m tcp --dport 69 -j REJECT
-A FORWARD -o eth1 -s 192.168.15.0/24 -p udp -m udp --dport 68 -j REJECT
-A FORWARD -o eth1 -s 192.168.15.0/24 -p tcp -m tcp --dport 68 -j REJECT
-A FORWARD -o eth1 -s 192.168.15.0/24 -p udp -m udp --dport 67 -j REJECT
-A FORWARD -o eth1 -s 192.168.15.0/24 -p tcp -m tcp --dport 67 -j REJECT

Run Code Online (Sandbox Code Playgroud)

不。:(

Answer 1

Ril*_*ndo 5

好的，我想通了 - 我没有取消默认 vlan 的标记，这导致来自默认 vlan 的流量流入我的 kickstart vlan。

那已经修好了。DHCP 分配在这些端口上不再起作用，但至少我现在知道问题所在。:)

归档时间：	14 年，2 月前
查看次数：	3559 次
最近记录：	14 年，2 月前