DHCP无法跨vlan分配

liangzzzzzzz 2011-07-15 02:21:17
用CentOS架起了一台DHCP服务器,Cisco 3560上做了ip helper,在服务器iptables关闭的情况下IP分配正常,无论是本网段的,还是跨Vlan的。

但只要把iptables开启,就会出现 跟服务器同一网段的客户端可以分配到IP,跨Vlan的客户端无法获取IP的问题。

请各位高手们帮忙看看我的iptables规则哪里出了问题,万分感谢!


# Generated by iptables-save v1.3.5 on Mon Jul  4 17:22:27 2011

*mangle

:PREROUTING ACCEPT [62:5012]

:INPUT ACCEPT [62:5012]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [66:7256]

:POSTROUTING ACCEPT [59:5848]

COMMIT

# Completed on Mon Jul  4 17:22:27 2011

# Generated by iptables-save v1.3.5 on Mon Jul  4 17:22:27 2011

*nat

:PREROUTING ACCEPT [1:92]

:POSTROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [7:1408]

COMMIT

# Completed on Mon Jul  4 17:22:27 2011

# Generated by iptables-save v1.3.5 on Mon Jul  4 17:22:27 2011

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [7:1408]

-A INPUT -i lo -j ACCEPT  

-A INPUT -p icmp -j ACCEPT  

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p udp -m udp --dport 53 -j ACCEPT

-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p udp -m udp --dport 123 -j ACCEPT

-A OUTPUT -o lo -j ACCEPT  

-A OUTPUT -p icmp -j ACCEPT  

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  

-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT  

-A OUTPUT -p udp -m udp --sport 68 --dport 67 -j ACCEPT

-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT  

-A OUTPUT -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT  

-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 873 -j ACCEPT  

COMMIT

# Completed on Mon Jul  4 17:22:27 2011
...全文
264 3 打赏 收藏 转发到动态 举报
写回复
用AI写文章
3 条回复
切换为时间正序
请发表友善的回复…
发表回复
liangzzzzzzz 2011-07-15
  • 打赏
  • 举报
 回复
用了一下最笨的二分法查了一下端口,发现是客户端67到服务端67:

-A INPUT -p udp -m udp --sport 67 --dport 1:100 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 50:100 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 80:100 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 65:80 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 72:80 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 65:68 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 65:66 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 65:66 -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 67 -j ACCEPT
liangzzzzzzz 2011-07-15
  • 打赏
  • 举报
 回复
原因应该在如下这一条,经过 ip helper 之后目标源似乎有发生改变:

-A INPUT -p udp -m udp --sport 67 -j ACCEPT
liangzzzzzzz 2011-07-15
  • 打赏
  • 举报
 回复
更新了一下,如下规则可以成功获取IP。

# Generated by iptables-save v1.3.5 on Mon Jul  4 17:22:27 2011

*mangle

:PREROUTING ACCEPT [62:5012]

:INPUT ACCEPT [62:5012]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [66:7256]

:POSTROUTING ACCEPT [59:5848]

COMMIT

# Completed on Mon Jul  4 17:22:27 2011

# Generated by iptables-save v1.3.5 on Mon Jul  4 17:22:27 2011

*nat

:PREROUTING ACCEPT [1:92]

:POSTROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [7:1408]

COMMIT

# Completed on Mon Jul  4 17:22:27 2011

# Generated by iptables-save v1.3.5 on Mon Jul  4 17:22:27 2011

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [7:1408]

-A INPUT -i lo -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A INPUT -p udp -m udp --dport 53 -j ACCEPT

-A INPUT -p udp -m udp --sport 67 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p udp -m udp --dport 123 -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -p icmp -j ACCEPT

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT

-A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT

-A OUTPUT -p udp -m udp --sport 68 --dport 67 -j ACCEPT

-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A OUTPUT -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT

-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 873 -j ACCEPT

COMMIT

# Completed on Mon Jul  4 17:22:27 2011
实验配置文档.txt
本次实验的拓扑图文件,本实验模拟公司网络场景,母公司A下面有分公司1和分公司2。路由器R3,R4和R6是这几个公司的出口网关,分公司的电脑主机由母公司A的DHCP主服务器通过DHCP中继服务分配IP地址。另外,为了增强网络的稳定性。各公司都使用了MSTP配置。并且公司内部通过划分不同VLAN来隔离不同部门间的通信,同时也能实现VLAN的通信。
网络互联与路由实训报告.doc
为了更深入的了解企业网络,可以实现一些简单的拓扑搭建,掌握以下能力: (1)学习了解基础的网络架构框架及相关基础知识、概念。 (2)熟练掌握静态路由,OSPF等基本路由协议的配置。 (3)学习VLAN的创建,正确划分VLAN,并实现交换机的VLAN通信。 (4)学会使用DHCP服务自动为主机分配IP地址。 (5)掌握PAP认证的配置方法。 (6)掌握应用标准ACL配置和扩展ACL配置。 (7)学会在服务器上开启DNS并修改相关配置。 (8)掌握NAT和远程登录telnet的基本配置。
CCNA_CCNP 思科网络认证 《 配置路由器作为DHCP服务器;无
# 配置路由器作为DHCP为直连网段分配地址 # 配置网段分配IP地址 ----------------------------------- # 无线局域网 家庭路由器,三合一的设备   # 组建企业无线AP实现VLAN间路由 -------------------------...
【校园网设计】基于ensp的地区的校园网组网方案
vlan划分 为总校区行政楼划分vlan10 网段为192.168.10.0/24,宿舍楼划分vlan 20,网段为192.168.20.0/24 ,教学楼为vlan30,网段192.168.30.0/24 实验楼 vlan40 ,网段192.168.40.0/24,分校区的教学楼vlan 100 ,网段是192.168.100.0/24 合理利用trunk和acces技术,明白打tag和去tag的原理 svi口 三层交换机配置svi口,作为pc的网关,并设置vlanif800上连公司出口路由器 dhcp自动分配ip 汇聚交换机开启dhcp功能,建立地址池,全局配置dhcp功能 nat nat使用napt技术,将内网地址转换为外网地址+端口的方式,并将内网的web服务器映射出去,可供外网访问校园web服务器 ospf 内网使用ospf协议完成互通,运营商使用ospf模拟互通 bgp 总校区和运营商,运营商和分校区之间建立bgo邻居,两校区之间的流量通过bgp进行传输 acl访问控制列表 只允许行政楼才能访问财政服务器
超级软路由器X-Router 4.86简体中文版.rar
高性能软路由系统,普通PC机能支持几千台机器的同时上网。能够抵抗内外网机器的任何攻击;支持多个线路的接入;具有自动带宽调节功能,2M带宽可带15-20台PC上网;有WEB认证、PPPOE认证功能;具有各种网络控制管理功能;首创面向操作者的3D操作界面。 1.运行平台:windowsxp、windows2003、windows vista、windows2008、windows7。 2.面向高端应用设计,支持从几十台机器到几千台机器同时上网的需要。 3.支持最多127条外网出口线路的带宽合并与负载均衡。支持单网卡实现多出口nat,能实现带宽叠加。 4.全球首款面向对象的全3d操作界面(任何普通显卡均可使用),直观显示所有机器的上网情况。 5.抗arp攻击、洪水ddos攻击等。不需要安装客户端。 6.智能带宽分配,能够根据上网机器数及带宽情况,动态分配带宽。2madsl能支持15-20台机器同时上网。7.内置pppoe拨号服务、web登录服务。 可以由本机认证,也支持外部radius服务器认证。 8.具有强制认证功能(必须认证后才能上网),也具有非强制认证功能。 9.能够同时按用户帐号、vlan号、mac地址、ip地址使用控制策略,控制上网机器。 10.支持网址过滤、连接数限制、发包速率控制等控制功能。 11.具有超级过滤器功能,能记录、过滤绝大多数网络软件的使用。 12.具有详细的用户上网日志记录与查询。 13.具有流量记录功能,能按帐号、vlan、mac、ip分别记录流量、上网时间。 14.具有ip+mac地址绑定功能,能够vlan进行绑定,并能禁止用户随意修改ip地址。 15.具有anyip功能,即客户机可以设置任意ip、任意网关上网。 16.内置dhcp服务能够按vlan分配不同网段ip地址。 17.系统中所有功能均能vlan使用。 18.能自动检测内网中非法存在的dhcp服务器、pppoe服务器、arp欺骗等,并给予提示......
系统维护与使用区

19,612

社区成员

74,603

社区内容

发帖
与我相关
我的任务
社区描述
系统使用、管理、维护问题。可以是Ubuntu, Fedora, Unix等等
社区管理员
  • 系统维护与使用区社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章