DHCP无法跨vlan分配

liangzzzzzzz 2011-07-15 02:21:17

用CentOS架起了一台DHCP服务器，Cisco 3560上做了ip helper，在服务器iptables关闭的情况下IP分配正常，无论是本网段的，还是跨Vlan的。

但只要把iptables开启，就会出现跟服务器同一网段的客户端可以分配到IP，跨Vlan的客户端无法获取IP的问题。

请各位高手们帮忙看看我的iptables规则哪里出了问题，万分感谢！

# Generated by iptables-save v1.3.5 on Mon Jul  4 17:22:27 2011

*mangle

:PREROUTING ACCEPT [62:5012]

:INPUT ACCEPT [62:5012]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [66:7256]

:POSTROUTING ACCEPT [59:5848]

COMMIT

# Completed on Mon Jul  4 17:22:27 2011

# Generated by iptables-save v1.3.5 on Mon Jul  4 17:22:27 2011

*nat

:PREROUTING ACCEPT [1:92]

:POSTROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [7:1408]

COMMIT

# Completed on Mon Jul  4 17:22:27 2011

# Generated by iptables-save v1.3.5 on Mon Jul  4 17:22:27 2011

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [7:1408]

-A INPUT -i lo -j ACCEPT  

-A INPUT -p icmp -j ACCEPT  

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p udp -m udp --dport 53 -j ACCEPT

-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p udp -m udp --dport 123 -j ACCEPT

-A OUTPUT -o lo -j ACCEPT  

-A OUTPUT -p icmp -j ACCEPT  

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  

-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT  

-A OUTPUT -p udp -m udp --sport 68 --dport 67 -j ACCEPT

-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT  

-A OUTPUT -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT  

-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 873 -j ACCEPT  

COMMIT

# Completed on Mon Jul  4 17:22:27 2011

...全文

272 3 打赏收藏转发到动态举报

写回复

用AI写文章

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

liangzzzzzzz 2011-07-15

打赏
举报

用了一下最笨的二分法查了一下端口，发现是客户端67到服务端67：

-A INPUT -p udp -m udp --sport 67 --dport 1:100 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 50:100 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 80:100 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 65:80 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 72:80 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 65:68 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 65:66 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 65:66 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 67 -j ACCEPT

liangzzzzzzz 2011-07-15

打赏
举报

原因应该在如下这一条，经过 ip helper 之后目标源似乎有发生改变：

-A INPUT -p udp -m udp --sport 67 -j ACCEPT

liangzzzzzzz 2011-07-15

打赏
举报

更新了一下，如下规则可以成功获取IP。

# Generated by iptables-save v1.3.5 on Mon Jul  4 17:22:27 2011

*mangle

:PREROUTING ACCEPT [62:5012]

:INPUT ACCEPT [62:5012]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [66:7256]

:POSTROUTING ACCEPT [59:5848]

COMMIT

# Completed on Mon Jul  4 17:22:27 2011

# Generated by iptables-save v1.3.5 on Mon Jul  4 17:22:27 2011

*nat

:PREROUTING ACCEPT [1:92]

:POSTROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [7:1408]

COMMIT

# Completed on Mon Jul  4 17:22:27 2011

# Generated by iptables-save v1.3.5 on Mon Jul  4 17:22:27 2011

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [7:1408]

-A INPUT -i lo -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p udp -m udp --dport 53 -j ACCEPT

-A INPUT -p udp -m udp --sport 67 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p udp -m udp --dport 123 -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -p icmp -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT

-A OUTPUT -p udp -m udp --sport 68 --dport 67 -j ACCEPT

-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A OUTPUT -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT

-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 873 -j ACCEPT

COMMIT

# Completed on Mon Jul  4 17:22:27 2011