Yop a tous. Petit cours rapide sur le dhcp et les firewall
le dhcp est un protocole permettant a des machines de se voir attribuer une ip automatiquement ainsi que les adresses des dns et routeurs. Tres pratique dans des reseaux locaux, car aucune configuration n'est necessaire sur les machines clientes, un plug et c tout.
Comment ca marche, en gros le client balance une info sur le reseau a destination de toutes les machines (broadcast), celles ki ont un serveur dhcp recup l'info. Seulement voila, comme tout paquet reseau il repond a un protocole et a un numero de port. La ou ca coince, c ke c de l'udp sur le port 67 (ou 68, je c pu en fait). Le hic, c ke le firewall (iptables) bloke les ports 67&68 donc normalement ca devrait pas marcher. Or ca marche, en regardant les logs, je constate ke le paket a ete droppe, mais alors, par koi ca passe ???? ca contourne le firewall et provokant ainsi une faille de securite ????
Linux, Iptables & Dhcp
Débuté par rider, 17 juin 2003 00:31
5 réponses à ce sujet
#2
yoda
-
- Membres
-
- 3 865 messages
ce n'est que moi ...
- Location:Waterloo
Posté 17 juin 2003 - 05:50
Quand un client dhcp se connecte, afin d'obtenir une ip, il va faire les 4 etape suiavnte (en gros dumoins !)
1) emettre une trame DHCPDISCOVER afin de trouver un serveur dhcp, la trame est envoyer sur le broadcats - 255.255.255.255 et comme il a part encore d'ip, il va prendre temporairement la 0.0.0.0. ! Comme videmment, l'ip 0.0.0.0 est pas encore enregistrer dans le serveur, il va envoi son adresse mac, qui elle permet de l'identifier de manière unique !
2) les serveurs dhcp qui se toruve sur le reseau vont renvoi une trame DHCPOFFER - sur le broadcast vu que le client a pas d'ip encore ... - contenant une proposition de bail (toute les infos qu'on mets ds la config dhcp !) ainsi que l'adresse mac du client qui a demander une ip ! de plus le serveur envoi aussi sa propre ip afin de l'identifier ! si il y a plusieur dhcp sur un mme reseau, tous les serveur dhcp font la meme chose ! sauf conf contraire, la première reponse recu par le client est acceptée !
3) le client repond alors un DHCPREQUEST a tous les serveur - en broadcast evidemment, vu qu'on connait pas les ip - en specifiant quelle offre il accepte !
4) pour terminer, le serveur dhcp renvoi un DHCPACK afin de confirmer l'attribution du bail, et indiquedans ses table que l'ip est utilisée !
vala, c'est +/- ça ... pour un renouvellement de bail, quand la moitié du temps est ecoulé, le client esseye de renouveller le bail, si sa ya reponse, c'est repartis pour new bail ...
trame dhcp :
1) emettre une trame DHCPDISCOVER afin de trouver un serveur dhcp, la trame est envoyer sur le broadcats - 255.255.255.255 et comme il a part encore d'ip, il va prendre temporairement la 0.0.0.0. ! Comme videmment, l'ip 0.0.0.0 est pas encore enregistrer dans le serveur, il va envoi son adresse mac, qui elle permet de l'identifier de manière unique !
2) les serveurs dhcp qui se toruve sur le reseau vont renvoi une trame DHCPOFFER - sur le broadcast vu que le client a pas d'ip encore ... - contenant une proposition de bail (toute les infos qu'on mets ds la config dhcp !) ainsi que l'adresse mac du client qui a demander une ip ! de plus le serveur envoi aussi sa propre ip afin de l'identifier ! si il y a plusieur dhcp sur un mme reseau, tous les serveur dhcp font la meme chose ! sauf conf contraire, la première reponse recu par le client est acceptée !
3) le client repond alors un DHCPREQUEST a tous les serveur - en broadcast evidemment, vu qu'on connait pas les ip - en specifiant quelle offre il accepte !
4) pour terminer, le serveur dhcp renvoi un DHCPACK afin de confirmer l'attribution du bail, et indiquedans ses table que l'ip est utilisée !
vala, c'est +/- ça ... pour un renouvellement de bail, quand la moitié du temps est ecoulé, le client esseye de renouveller le bail, si sa ya reponse, c'est repartis pour new bail ...
trame dhcp :
| CODE |
| No. Time Source Destination Protocol Info 1 0.000000 0.0.0.0 255.255.255.255 DHCP DHCP Discover - Transaction ID 0x6719436e 2 0.001182 192.168.0.253 192.168.0.9 ICMP Echo (ping) request 3 0.342454 192.168.0.253 192.168.0.9 DHCP DHCP Offer - Transaction ID 0x6719436e 4 0.344405 0.0.0.0 255.255.255.255 DHCP DHCP Request - Transaction ID 0x6719436e 5 0.348264 192.168.0.253 192.168.0.9 DHCP DHCP ACK - Transaction ID 0x6719436e 6 0.353014 CIS_b9:49:37 Broadcast ARP Who has 192.168.0.9? Tell 192.168.0.9 7 0.571241 CIS_b9:49:37 Broadcast ARP Who has 192.168.0.9? Tell 192.168.0.9 8 1.571441 CIS_b9:49:37 Broadcast ARP Who has 192.168.0.9? Tell 192.168.0.9 9 2.580537 192.168.0.9 192.168.0.255 NBNS Registration NB PCHRIS<00> 10 2.590265 192.168.0.9 192.168.0.255 NBNS Registration NB PCHRIS<03> |
quelle galere pour installer sa souris sous linux, alors que sous
windows, on double-clique sur un .exe et c'est fini ...
des howto's en tout genre, traduit et pas traduit : The Linux Documentation Project
windows, on double-clique sur un .exe et c'est fini ...
des howto's en tout genre, traduit et pas traduit : The Linux Documentation Project
#4
yoda
-
- Membres
-
- 3 865 messages
ce n'est que moi ...
- Location:Waterloo
Posté 17 juin 2003 - 14:25
ya pas de portts utiliser lors de la demande d'un bail a mon avis, vu que toute les transmission se font sur le broadcast ...
peut etre que le port est utiliser lors d'un renouvellmeent d'un bail (donc a la moitie du tps de validitée !) vu que la, le client adresse direct le serveur via son ip, c'est donc different, a tester en mettant un bail de 4 minute par exemple et voir si a deux minute,, il arrive a renouveler son bail si tout les ports sont bloquer !
peut etre que le port est utiliser lors d'un renouvellmeent d'un bail (donc a la moitie du tps de validitée !) vu que la, le client adresse direct le serveur via son ip, c'est donc different, a tester en mettant un bail de 4 minute par exemple et voir si a deux minute,, il arrive a renouveler son bail si tout les ports sont bloquer !
quelle galere pour installer sa souris sous linux, alors que sous
windows, on double-clique sur un .exe et c'est fini ...
des howto's en tout genre, traduit et pas traduit : The Linux Documentation Project
windows, on double-clique sur un .exe et c'est fini ...
des howto's en tout genre, traduit et pas traduit : The Linux Documentation Project
#5
rider
-
- Membres
-
- 608 messages
Maître Forumeur
Posté 17 juin 2003 - 14:54
ben, si tu lis le man de dhcpd, tu verra que ca passe par des ports ...
De plus, g configure le bail a 1min (car ca couille de temps en temps si le temps est trop elleve avec certains pc sous win sur le rezo ...) et non seulement le renouvellement a bien lieu, mais des paquets sont droppes, tout comme pour la premiere attribution ...
De plus, g configure le bail a 1min (car ca couille de temps en temps si le temps est trop elleve avec certains pc sous win sur le rezo ...) et non seulement le renouvellement a bien lieu, mais des paquets sont droppes, tout comme pour la premiere attribution ...
#6
yoda
-
- Membres
-
- 3 865 messages
ce n'est que moi ...
- Location:Waterloo
Posté 17 juin 2003 - 15:02
quelle galere pour installer sa souris sous linux, alors que sous
windows, on double-clique sur un .exe et c'est fini ...
des howto's en tout genre, traduit et pas traduit : The Linux Documentation Project
windows, on double-clique sur un .exe et c'est fini ...
des howto's en tout genre, traduit et pas traduit : The Linux Documentation Project
Répondre à ce sujet
0 utilisateur(s) li(sen)t ce sujet
0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)
