我正在构建一个kickstart网络,它位于不同的VLAN上,使用自己的DHCP服务器.出于某种原因,我的kickstart客户端不断从我的主DHCP服务器分配IP.
我设置它的方式是我在这个路由器上有一个主DHCP服务器:
192.168.15.1
连接到该DHCP服务器的是IP为192.168.15.2的交换机.我的kickstart(Scientific Linux)服务器连接到两个端口上的交换机:
端口2 – kickstart服务器通过eth0与生产网络的其余部分通信.分配给该接口上的服务器的IP是192.168.15.100(在eth0上).细节是:
Interface: eth0 IP: 192.168.15.100 Netmask: 255.255.255.0 Gateway: 192.168.15.1
端口7 – 拥有自己的VLAN ID(以及端口8). kickstart服务器连接到该端口,IP为172.16.15.100(在eth1上).同样,细节是:
Interface: eth1 IP: 172.16.15.100 Netmask: 255.255.255.0 Gateway: none
kickstart服务器运行自己的DHCP服务器并通过eth1分配它们.大多数kick start都是通过端口8在kickstart VLAN上构建的.为了防止kickstart DHCP服务器通过生产网络分配地址,我的路由设置如下:
route add -host 255.255.255.255 dev eth1
此时,客户端不断从192.168.15.1 DHCP服务器分配IP.我需要弄清楚阻止客户端请求到达DHCP的方法.应该注意的是,我也在kickstart服务器上构建KVM主机,因此我需要这些KVM能够在我完成解决此特定问题后通过网桥从192.168.15.1 DHCP服务器获取DHCP请求. (目前,他们通过NAT进行通信).
那么解决这个问题会怎么做?通过iptables或某种路由我需要输入?
我试图通过该接口上的IPtables限制请求,允许对172.16.15.x网络的DHCP请求:
-A INPUT -i eth1 -s 172.16.15.0/24 -p udp -m udp --dport 69 -j ACCEPT -A INPUT -i eth1 -s 172.16.15.0/24 -p tcp -m tcp --dport 69 -j ACCEPT -A INPUT -i eth1 -s 172.16.15.0/24 -p udp -m udp --dport 68 -j ACCEPT -A INPUT -i eth1 -s 172.16.15.0/24 -p tcp -m tcp --dport 68 -j ACCEPT -A INPUT -i eth1 -s 172.16.15.0/24 -p udp -m udp --dport 67 -j ACCEPT -A INPUT -i eth1 -s 172.16.15.0/24 -p tcp -m tcp --dport 67 -j ACCEPT
并拒绝来自192.168.15.x网络的eth1的分配:
-A FORWARD -o eth1 -s 192.168.15.0/24 -p udp -m udp --dport 69 -j REJECT -A FORWARD -o eth1 -s 192.168.15.0/24 -p tcp -m tcp --dport 69 -j REJECT -A FORWARD -o eth1 -s 192.168.15.0/24 -p udp -m udp --dport 68 -j REJECT -A FORWARD -o eth1 -s 192.168.15.0/24 -p tcp -m tcp --dport 68 -j REJECT -A FORWARD -o eth1 -s 192.168.15.0/24 -p udp -m udp --dport 67 -j REJECT -A FORWARD -o eth1 -s 192.168.15.0/24 -p tcp -m tcp --dport 67 -j REJECT
不. 原文链接:https://www.f2er.com/linux/399903.html