关于拦截 dhcp 的问题
拦截 dhcp 数据包是一个看似简单,但是有时候却是死活都不生效的问题。
从 dhcp 协议上来看,拦截 dhcp 似乎是很简单的。dhcp 客户端从 udp 68 端口广播发出 dhcp 请求,目标地址为 255.255.255.255,目标端口为 udp 67。
然后 dhcp 服务器响应请求,从 udp 67 端口向客户端 udp 68 端口回应数据。
按照这个流程来看,用 iptables 来拦截一个坏蛋服务器的响应,规则是很简单的:
iptables -t filter -A INPUT -m mac --mac-source <坏蛋 dhcp 的 mac 地址> -p udp --sport 67 --dport 68 -j DROP
但是,你试试看,在默认安装的 ubuntu-server 上,这个规则完全不起作用!
具体的原因是因为 dhcp 客户端使用了 raw socket ,而 raw socket 在 netfilter 处理之前就获得了数据包,见 https://www.mail-archive.com/netfilter@lists.samba.org/msg03189.html。
ubuntu-server 和 centos 使用的 dhcp 客户端为 isc dhcp client,通过 raw socket 请求 dhcp,因此通过 netfilter 框架是没有办法直接拦截到 dhcp 的!!!