Есть 2 локальные сети.
Сеть1. 192.168.0.0/24 Основная сетка, выходит в инет через PIX. В сети поднят AD,DNS,DHCP(192.168.0.8) всё это на винде. В этой же сети живет линуксовая машина, на которой поднят Openvpn сервер в режиме роутинга.
Сеть2. 192.168.1.0/24 Маленькая сеточка машин на 10-15 выходит в инет через роутер типа Trendnet TW-43BRP(192.168.1.254), на котором тоже поднят DHCP сервер. Одна из машин в этой сети коннектится vpn клиентом на линукс, который в первой сети, вобщем vpn работает замечательно, сетки видят друг друга, всё ок.
Но наблюдается ситуация, когда машины из сети1 начинают получать IP адреса сети2.
На линуксе смотрю tcpdump ом и действительно на броадкастовые запросы по bootpc машин из сети1, помимо основного DHCP сервера, отвечает роутер TW-43BRP, который гад находится в сети2.
Пытаюсь закрыть DHCP трафик на линуксе с помощью iptables по разному.
iptables -I FORWARD -i eth0 -p udp --sport 68 --dport 67 -j DROP
iptables -I FORWARD -i eth0 -p udp --sport 67 --dport 68 -j DROP
iptables -I FORWARD -i eth0 -p udp --sport 67 -j DROP
iptables -I FORWARD -i eth0 -p udp --sport 68 -j DROP
Вобщем пробовал по разному и udp, и tcp, и mac TW-43BRP дропнуть, и ip этого TW-43BRP запретить. Пробовал то же самое писать и на виртуальном интерфейсе tun0, который поднимает openvpn. Не помогает. Пакеты от TW-43BRP всё-равно пролазят в сеть1.Кусок лога tcpdump -i eth0
20:20:36.900225 IP (tos 0x0, ttl 64, id 5917, offset 0, flags [none], proto: UDP (17), length: 576) 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:1c:d4:69:c0:13 (oui Unknown), length 548, xid 0x53d7da38, secs 10, Flags [ none ]
Client-Ethernet-Address 00:1c:d4:69:c0:13 (oui Unknown) [|bootp]
20:20:36.900379 IP (tos 0x0, ttl 128, id 1192, offset 0, flags [none], proto: UDP (17), length: 328) 192.168.0.8.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length 300, xid 0x53d7da38, Flags [ none ]
Your-IP 192.168.0.203
Server-IP 192.168.0.8
Client-Ethernet-Address 00:1c:d4:69:c0:13 (oui Unknown) [|bootp]
20:20:36.901269 IP (tos 0x0, ttl 64, id 27126, offset 0, flags [none], proto: UDP (17), length: 328) 192.168.1.254.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length 300, xid 0x53d7da38, Flags [ none ]
Your-IP 192.168.1.107
Server-IP 192.168.1.254
Client-Ethernet-Address 00:1c:d4:69:c0:13 (oui Unknown) [|bootp]
Возникает вопрос. А можно ли эту проблему решить с помощью iptables???
Варианты типа отключить dhcp в сети2, или настроить его чтоб он выдавал ip только определенным mac адресам (он этого не умеет), просьба не предлагать.
Заранее спасибо !
|
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(ok) on 08-Апр-09, 14:52 
