# DHCP funktioniert trotz iptables



## pockiman (12. Oktober 2007)

Ich habe folgende Konstellation eingerichtet:

Debian mit iptables und DHCP-Server  _________________        Knoppix mit DHCP
eth3---------------------------------------------------switch------------------------------------eth0

-per iptables haben sowohl IPV4 als auch IPV6 für INPUT,OUTPUT und FORWARD die Default-Policy DROP
-Es ist keine einzige Regel definiert, also insbesondere noch nicht die nötigen Regeln für DHCP
-der DHCP-Server soll der MAC des Knoppix-Rechner die IP xx.xx.xx.34 zuordnen
-Der Knoppix-Rechner (Laptop) startet von DVD und hat weder Akku noch Festplatte noch USB-Stick
-Switch stromlos gemacht und anschließend wieder eingesteckt

Wenn ich den Knoppix-Rechner hochfahre, bekommt er die geplante IP-Adresse Hallo?
iptables -L -n -v zeigt leere Regelsätze, und 4 gedropte Pakete auf eth3, chain INPUT
trotzdem kommt auch im Syslog des Servers für den dhcp-Daemon das Protokoll der Anfrage des Knoppix-Rechner und die Zuweisung der IP-Adresse.

Ich habe auch ein kompliziertes Regelwerk, welches mit mehreren Ketten explizit alle Pakete des Interface ablehnt und zuvor logt, es wird dann auch der DROP (bzw REJECT) geloggt, die IP wird trotzdem vergeben

Verstehe ich irgendetwas am DHCP-Protokoll falsch? Läuft das, obwohl über UDP-Port nicht durch die iptables-Ketten? Warum erreicht das Broadcast-Paket die Applikation (dhcp-Server) obwohl es als gedroppt ausgewiesen wird
Wie kann der Server dem Client antworten, ohne daß ein Paket über eth3 raus geht

Wäre für jede Hilfe dankbar, solange ich mich nicht auf meinen Server verlassen kann, kann der nicht ins Netz gehen... :-(

Gruß,
Pockiman


----------



## Dennis Wronka (13. Oktober 2007)

Kann es sein, dass die IP zuvor mal "rechtmaessig" per DHCP zugewiesen wurde?
Wenn ich mich recht erinnere verhaelt sich dhclient in dem Fall dass keine Antwort kommt so dass die zuletzt erhaltene IP genutzt wird, vorausgesetzt die Lease-Zeit ist noch nicht abgelaufen.


----------



## pockiman (13. Oktober 2007)

Erstmal Danke für Deine Antwort.

Wegen diesem Verhalten des dhclient habe ich ja extra ein Nicht-Dauerhaftes Linux-System zum Test benutzt und bei jedem Versuch neu gebootet. Der Laptop bootet von DVD und hat keine Festplatte o.ä.
Der DHClient kann sich die IP also gar nicht merken.

Außerdem kommt ja die Vergabe zusätzlich im Protokoll des Servers!

Es findet ein Austausch von Informationen zwischen Server und Client statt!
Reproduzierbar.

Gruß,
Pockiman


----------

