Score:0

เป็นไปได้ไหมที่จะบล็อกทราฟฟิก dhcp โดยใช้ iptables

ธง it

ฉันมีอุปกรณ์สองเครื่องที่มี Linux ในตัว หนึ่งในนั้น (เครื่อง A) มีสองอินเทอร์เฟซเครือข่าย: eth ที่ใช้เชื่อมต่อเครื่องเข้าด้วยกันและอินเทอร์เฟซ wlan เพื่อเชื่อมต่อกับเราเตอร์ผ่าน WiFi เครื่องที่สอง (B) มี eth เพียงหนึ่งอินเตอร์เฟส เป้าหมายของฉันคือการเปิดใช้งานการเข้าถึงเครือข่าย WiFi บนเครื่อง B ฉันใช้กฎ iptables เพื่อกรองแพ็กเก็ตจากเครื่อง A ไปยังเครื่อง B และใช้งานได้ ตอนนี้ฉันต้องบล็อกการรับส่งข้อมูล dhcp ในเครื่องแรกเพื่อไม่ให้เข้าถึงเครื่องที่สอง ฉันกำลังมองหากฎ iptables ที่จะทำ แต่ฉันพบว่ามันเป็นไปไม่ได้กับ iptables มีวิธีอื่นอีกไหมที่จะบล็อกทราฟฟิกนั้น

ขอขอบคุณล่วงหน้าสำหรับความช่วยเหลือใด ๆ

anx avatar
fr flag
anx
เดี๋ยวก่อน คุณต้องการอะไร: เชื่อมต่ออินเทอร์เฟซหรือป้องกันการส่งต่อการรับส่งข้อมูลจากที่หนึ่งไปยังอีกที่หนึ่ง
user6758 avatar
it flag
@anx ฉันต้องการบล็อกเฉพาะทราฟฟิก dhcp จากเครื่อง A ไปยังเครื่อง B หรือระหว่างอินเทอร์เฟซ wlan และ eth บนเครื่อง A อย่างแม่นยำยิ่งขึ้น
vidarlo avatar
ar flag
มีกลิ่นเหมือน [ปัญหา XY](https://xyproblem.info/) เมื่อขั้นตอนใดขั้นตอนหนึ่งที่คุณต้องการคือการปิดกั้น DHCP คุณอาจเลี้ยวผิดที่ใดที่หนึ่ง
A.B avatar
cl flag
A.B
เพื่อขจัดความคลุมเครือ คุณสามารถบอกได้หรือไม่ว่าเครื่อง A ได้รับการกำหนดค่าเป็นจุดเข้าใช้งานหรือเป็นไคลเอ็นต์ไร้สายธรรมดา และเพิ่มคำตอบสำหรับแต่ละอุปกรณ์ในผลลัพธ์ของคำสั่งเหล่านี้ (บางอันจะส่งคืนผลลัพธ์บางอย่างจากก่อนหน้านี้ แต่ก็ยังจำเป็นอยู่) `ip -br ลิงค์; ที่อยู่ IP -br; ip route` จากนั้น `ip -br link show type bridge` และสุดท้าย `ip -br link show type bridge_slave`
vidarlo avatar
ar flag
@A.B เขาเขียนว่า A เชื่อมต่อกับเราเตอร์ ซึ่งอาจหมายความว่านั่นคือ AP...
cn flag
"เมื่อขั้นตอนใดขั้นตอนหนึ่งที่คุณต้องการคือการปิดกั้น DHCP คุณอาจเลี้ยวผิดที่ใดที่หนึ่ง" - ไม่จำเป็น. เซิร์ฟเวอร์ Rogue DHCP เป็นปัญหาที่ทราบแล้ว ซึ่งเป็นเหตุผลว่าทำไม hyper-v มีกลไกในการบล็อก vm จากการทำหน้าที่เป็น DHCP (เว้นแต่จะปิดใช้งานในการกำหนดค่า) IBM เคยมีปัญหาที่คนเพิ่งตั้งค่าเซิร์ฟเวอร์ DHCP สำหรับการทดสอบ จากนั้นบางส่วนของเครือข่ายได้รับ IP เหล่านั้นที่นั่น ดังนั้นการกรองจึงสมเหตุสมผลมาก เว้นแต่คุณจะสามารถระบุได้ว่าไม่มีใครแนบเซิร์ฟเวอร์ DHCP อันธพาลที่ไหนสักแห่ง
vidarlo avatar
ar flag
@TomTom ฉัน *สมบูรณ์* เห็นด้วยกับความคิดเห็นของคุณ ฉันกำลังคิดอย่างเจาะจงมากขึ้นเกี่ยวกับปัญหาดังที่แสดงไว้ที่นี่ ด้วยการเชื่อมโยงแบบจุดต่อจุดระหว่างอุปกรณ์สองเครื่อง... การบล็อกโฮสต์ที่ไม่รู้จักที่ทำหน้าที่เป็น DHCP เป็นส่วนหนึ่งของการกำหนดค่าเครือข่ายสำหรับเครือข่ายที่มีอุปกรณ์หลายเครื่องอย่างรอบคอบ..
Score:2
ธง ar

ป้อนคำอธิบายรูปภาพที่นี่

ฉันเชื่อว่านี่เป็นการตั้งค่าที่คุณจินตนาการไว้ไม่มากก็น้อย A เชื่อมต่อกับ WiFi และรับที่อยู่ IP B เชื่อมต่อกับ A ผ่านอีเธอร์เน็ต และมี IP (RFC1918 ส่วนตัว) เป็นของตัวเอง

คุณต้องการให้ B เข้าถึงอุปกรณ์บน WiFi

ตอนนี้ A ใช้ DHCP เพื่อรับ IP บนอินเทอร์เฟซ WiFi แต่จะไม่ส่งต่อ DHCP ไปยังอินเทอร์เฟซอื่น เว้นแต่คุณจะเรียกใช้พร็อกซี DHCP นอกจากนี้ ไคลเอ็นต์ WLAN โดยทั่วไปไม่สามารถแสดงที่อยู่ MAC ได้มากกว่าหนึ่งที่อยู่ ดังนั้นคุณจะต้องกำหนด IP พิเศษให้กับ A หรือทำให้ A เป็นตัวแทนของ B บน WiFi

เดอะ ง่าย วิธีทำคือสร้างการรับส่งข้อมูล NAT ที่มาจากอีเธอร์เน็ตและส่งต่อไปยัง wifi นี่คือสิ่งที่เราเตอร์ที่บ้านของคุณทำ และจะอนุญาตให้ B พูดคุยกับอุปกรณ์ (และอินเทอร์เน็ต) บน WiFi อุปกรณ์ในเครือข่ายนั้นจะเชื่อว่าทราฟฟิกมาจาก A เนื่องจากมองไม่เห็น B เลย

สำหรับวิธีการ NAT โปรดดูตัวอย่าง คำถามนี้.

คุณไม่ควรพยายามลอกเลียนแบบที่อยู่หรือแนวคิดโง่ๆ ที่คล้ายกัน IP นั้นมีความหมายว่าไม่ซ้ำกัน

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา