DHCP-сервер

[asy]

Не знаю, что он там заблокировал, но ip адрес он получил, и роутинг какой-то тоже,

Несовсем. Он получил DHCPOFFER, но не смог отправить DHCPREQUEST. Соответственно, полный обмен не произошёл и адрес, предложенный в OFFER, в итоге, применён не был. Там видно, что он несколько раз REQUEST отправляет безответно. В общем-то, вариант блокировки не сильно хороший, но рабочий, видимо.

[xdsl]

На самом деле варианта все равно нет, так как методика достижения результата не изложена, а значит - результат невоспроизводим.

[asy]

На самом деле варианта все равно нет

Ну как нет. На входе raw первый, и его не перехватить. А вот на выходе raw тоже первый, а не последний, и после него работает всё остальное. Если пакет специально не промаркирован, он попадёт в обработчик. Видимо, dhcpd такую маркировоку не делает.

[xdsl]

На самом деле варианта все равно нет

Ну как нет.

Имею в виду, что скриншот Знайки вариантов никаких не дает и ни о чем не говорит. Может он на коммутаторе реквесты режет. Или руками текст забил, cat-ом вывел и отскриншотил  ;). Без воспроизводимой методики - в игнор, а то детский сад получается: "а вот что у меня тут в кулачке есть? а вот никому не покажу!"

На входе raw первый, и его не перехватить. А вот на выходе raw тоже первый, а не последний, и после него работает всё остальное. Если пакет специально не промаркирован, он попадёт в обработчик. Видимо, dhcpd такую маркировоку не делает.

Не дошло, о каком обработчике идет речь. Об iptables? Так вроде уже выяснили, что iptables тут не у дел. Вот картинка, которая это демонстрирует (http://www.mail-archive.com/netfilter@lists.samba.org/msg03907.html)

eth0 ----+------- iptables ----- IP-stack
         |        filtering
     Raw socket
         |
     DHCP-client

[asy]

Не дошло, о каком обработчике идет речь. Об iptables?

Да. Только цепочка output. Недостаточно просто получить что-то от DHCP-сервера, там обмен идёт. И вот тут, видимо, его можно рубануть: DHCP-client --> Raw socket --> iptables --> eth0
Если пакет не маркируется, чтобы не попадать в обработчик netfilter. В общем, попробуйте. Если не сработает фильтрация и на output, значит или у него или dhcpd другой, или руками текст забил. Хотя не думаю, что он уж на столько...

[speccyfan]

Код: [Выделить]

[root@sf-desktop ~]# iptables-save
# Generated by iptables-save v1.4.10 on Sat Nov 26 12:00:28 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -j DROP
COMMIT
# Completed on Sat Nov 26 12:00:28 2011

[root@sf-desktop ~]# ping 192.168.0.26
PING 192.168.0.26 (192.168.0.26) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
^C
--- 192.168.0.26 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2016ms

[root@sf-desktop ~]# dhcpcd eth0
eth0: dhcpcd 4.0.15 starting
eth0: waiting for carrier
eth0: carrier acquired
eth0: broadcasting for a lease
eth0: offered 192.168.0.28 from 192.168.0.26
eth0: ignoring offer of 192.168.0.28 from 192.168.0.26
eth0: acknowledged 192.168.0.28 from 192.168.0.26
eth0: leased 192.168.0.28 for 21600 seconds


[asy]

Ага, понятно. Спасибо.

[xdsl]

даже таблица raw не помогает:

[root@sda2 ~]# iptables -t raw -A OUTPUT -p udp --sport 67:68 --dport 67:68 -j DROP
[root@sda2 ~]# iptables -t raw --list
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       udp  --  anywhere             anywhere            udp spts:bootps:bootpc dpts:bootps:bootpc
[root@sda2 ~]# dhcpcd eth0
eth0: dhcpcd 4.0.15 starting
eth0: broadcasting for a lease
eth0: offered 10.0.0.7 from 10.1.0.30
eth0: acknowledged 10.0.0.7 from 10.1.0.30
eth0: leased 10.0.0.7 for 5184000 seconds
Reloading named service: [ DONE ]

iptables явно не у дел. Надо искать что-то между raw-сокетами и сетевой картой. Даже не знаю, есть-ли такой фильтр ...