Tham gia Đăng nhập
Điểm:0
user6758 avatar Server

Có thể chặn lưu lượng dhcp bằng iptables không?

lá cờ it
user6758

Tôi có hai thiết bị với Linux nhúng. Một trong số chúng (máy A) có hai giao diện mạng: eth được sử dụng để kết nối các máy với nhau và giao diện wlan để kết nối với bộ định tuyến qua WiFi. Máy thứ hai (B) chỉ có một giao diện eth. Mục tiêu của tôi là cho phép truy cập mạng WiFi trên máy B. Tôi đã sử dụng một số quy tắc iptables để lọc các gói từ máy A sang máy B và nó hoạt động. Bây giờ, tôi cần chặn lưu lượng dhcp trên máy đầu tiên để nó không đến được máy thứ hai. Tôi đang tìm kiếm một số quy tắc iptables để làm điều đó nhưng tôi thấy rằng điều đó là không thể với iptables. Có cách nào khác để chặn lưu lượng truy cập đó không?

Cảm ơn bạn trước cho bất kỳ sự giúp đỡ.

249
1 + 7
anx avatar
lá cờ fr
anx
Đợi đã, bạn muốn gì: Kết nối các giao diện hoặc ngăn chuyển tiếp lưu lượng truy cập từ giao diện này sang giao diện khác?
0
Hồi đáp
user6758 avatar
lá cờ it
user6758
@anx Tôi chỉ muốn chặn lưu lượng dhcp từ máy A sang máy B, hay chính xác hơn là giữa giao diện wlan và eth trên máy A.
0
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
Điều này có mùi giống như [sự cố XY](https://xyproblem.info/). Khi một trong các bước bạn yêu cầu là chặn DHCP, có lẽ bạn đang rẽ nhầm ở đâu đó.
4
Hồi đáp
A.B avatar
lá cờ cl
A.B
Để loại bỏ bất kỳ sự mơ hồ nào, bạn có thể biết liệu máy A được định cấu hình là điểm truy cập hay là máy khách không dây đơn giản? Và thêm vào câu trả lời cho mỗi thiết bị đầu ra của các lệnh này (một số sẽ trả về một số kết quả từ trước đó nhưng điều đó vẫn cần thiết)? `ip -br liên kết; địa chỉ ip -br; ip route` rồi đến `ip -br link show type bridge` và cuối cùng là `ip -br link show type bridge_slave`.
1
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
@A.B anh ấy viết rằng A kết nối với một bộ định tuyến, điều đó có thể có nghĩa đó là AP...
0
Hồi đáp
lá cờ cn
TomTom
"Khi một trong các bước bạn yêu cầu là chặn DHCP, có lẽ bạn đang rẽ nhầm ở đâu đó." - không cần thiết. Máy chủ DHCP giả mạo là một sự cố đã biết. Đó là lý do tại sao, tức là hyper-v có cơ chế chặn vm hoạt động như DHCP (trừ khi bị tắt trong cấu hình). IBM đã từng gặp sự cố khi mọi người chỉ thiết lập máy chủ DHCP để thử nghiệm và sau đó các bộ phận của mạng có các IP đó ở đó. Do đó, việc lọc có RẤT NHIỀU ý nghĩa, trừ khi bạn có thể chắc chắn rằng không ai gắn máy chủ DHCP lừa đảo ở đâu đó.
0
Hồi đáp
vidarlo avatar
lá cờ ar
vidarlo
@TomTom Tôi *hoàn toàn* đồng ý với nhận xét của bạn. Tôi đã suy nghĩ cụ thể hơn về vấn đề như được trình bày ở đây, với liên kết điểm-điểm giữa hai thiết bị... Chặn các máy chủ không xác định hoạt động như DHCP là một phần thận trọng trong cấu hình mạng cho mạng có nhiều thiết bị..
0
Hồi đáp
Điểm:2
vidarlo avatar Server
lá cờ ar
vidarlo

nhập mô tả hình ảnh ở đây

Tôi tin rằng đây ít nhiều là thiết lập mà bạn hình dung. A kết nối với WiFi và nhận địa chỉ IP. B được kết nối với A qua ethernet và có IP (RFC1918) riêng của họ.

Bạn muốn B tiếp cận các thiết bị trên WiFi.

Bây giờ, A sử dụng DHCP để lấy IP trên giao diện WiFi. Nhưng nó không chuyển tiếp DHCP sang các giao diện khác, trừ khi bạn chạy proxy DHCP. Hơn nữa, các máy khách WLAN thường không thể đại diện cho nhiều hơn một địa chỉ MAC, vì vậy bằng cách nào đó, bạn phải gán thêm một IP cho A - hoặc đặt A đại diện cho lưu lượng truy cập của B trên WiFi.

Các dễ dàng cách để làm điều này là tạo lưu lượng truy cập NAT đến từ ethernet và chuyển tiếp nó tới wifi. Đây là những gì bộ định tuyến gia đình của bạn thực hiện và sẽ cho phép B nói chuyện với các thiết bị (và internet) trên WiFi. Các thiết bị trên mạng đó sẽ tin rằng lưu lượng truy cập đến từ A, vì chúng hoàn toàn không thể nhìn thấy B.

Để biết cách NAT, hãy xem ví dụ câu hỏi này.

Bạn không nên cố sao chép địa chỉ hoặc bất kỳ ý tưởng ngớ ngẩn nào tương tự. IP có nghĩa là duy nhất.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.