[sisyphus] Проблема с DHCP на роутере - помогите!

Vadim V. Zhytnikov =?iso-8859-1?q?vvzhy_=CE=C1_netorn=2Eru?=
Вт Май 1 23:22:55 MSD 2007 

Andrii Dobrovol`s`kii пишет:
> Vadim V. Zhytnikov пишет:
>> Epiphanov Sergei пишет:
>>> В сообщении от Saturday 28 April 2007 15:24:52 Vadim V. Zhytnikov написал(а):
>>>> Добрый день!
>>>>
>>>> Имеется локальная домашняя сетка из нескольких
>>>> компьюеров 192.0.168.ХХХ.  Она подключена к Интернет
>>>> провайдеру через Linux роутер на котором стоит
>>>> Compact 3.0 (точнее это был Master 2.4 с обновлениями)
>>>> Ядро 2.4.26.   На роутере есть набор статических маршрутов
>>>> в локальную пиринговую сеть и поднимается VPN для
>>>> доступа в Интернет.  Провайдер утверждает, что
>>>> роутер раздаёт в локальную сеть ответы на DHCP
>>>> запросы и раздаёт в неё "левые" адреса типа 192.168.0.254.
>>>> Но dhcpd на роутере у меня не поднят.
>>>> В чём может быть проблема?
>>>> Прошу помощи ибо назревает конфликт.
>>> Скажите, а не может ли это делать кто-то из ваших внутренних компьютеров 
>>> (помимо рутера)?
>>>
>> Вполне возможно.  За роутером виндовые машины.
>> Кроме того есть ещё одна штука - моя
>> домашняя сеть это 192.168.0.Х а среди локальных
>> приринговыых сетей есть подсеть 192.168.Х.Х.
>> Но вот уже 3 года я с этим никаких проблем не
>> испытывал.  Просто не прописывал маршрут к этой сети.
>>
>>
> Лог показывает, что Вы невинны как младенец... :) Там нет никаких
> упоминаний о DCP.
> Но, лучше было бы если бы Вы сами сняли дамп со своих интерфейсов на
> предмет наличия пакетов DHCP. И для полной победы, поставьте в
> правилах экрана запрет на форвардинг DHCP и его отдачу наружу.
> Правда, на перифирии сознания, вертится, что иногда эти правила
> игнорируются... Гляньте для уверенности в доки по dhcpd.
> Да. Ещё можете изменить адрес своей сетки. С 0 хоть на 10. И
> проверить, что изменится вовне.
> 

Нашел в архиве обсуждение похожей ситуации
http://lists.altlinux.org/pipermail/community/2004-February/112181.html
только вот у меня dhcpd не то что не запущен, но даже и не
установлен.  И насколько я понял, даже если проблема у меня есть есть,
то iptables не поможет
http://lists.altlinux.org/pipermail/community/2004-February/112666.html
Тем не менее поставил DROP для всех пакетов на портах 67, 68 в INPUT и 
OUTPUT - хуже не будет.

Сделал tcpdump на портах 67,68 за несколько часов с большим
capture size для анализа в WireShark.  Свом неопытным глазом
не вижу в нём ничего криминального.  Немного смущает наличие
нескольких DHCP Reply типа DHCP ACK и DHCP Offer.

Буду очень благодарен если кто-нибудь взглянул на него
более опытным взглядом. Лог небольшой, но чтобы не засорять
рассылку вышлю в личку.


-- 
      Vadim V. Zhytnikov

       <vvzhy на mail.ru>
      <vvzhy на netorn.ru>

Подробная информация о списке рассылки Sisyphus