Uncomplicated Firewall (UFW) должен быть настроен на разрешение трафика на UDP-портах 67 и 68, независимо от того, является ли сервер Dynamic Host Configuration Protocol (DHCP) локальным или удаленным.
Кроме того, может потребоваться открыть TCP- и UDP-порты 53, которые используются для службы доменных имен (DNS).
В малых предприятиях и домашних условиях обычно службы DNS и DHCP предоставляются одним устройством.
Поэтому будет лучше, если вы откроете оба порта DHCP и DNS с помощью команды ufw.
⚙️ Настройка CentOS/Rocky/Oracle Linux в качестве маршрутизатора Linux
Открытие порта DHCP с помощью UFW в Linux
При использовании UFW команды выглядят следующим образом:
Проверка вновь добавленных правил UFW осуществляется следующим образом:
Помимо всех прочих правил, вы увидите следующее:
Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), deny (routed) New profiles: skip To Action From -- ------ ---- 67/udp ALLOW IN Anywhere # Allow 67/UDP 53/udp ALLOW IN Anywhere # Allow DNS_53/UDP 53/tcp ALLOW IN Anywhere # Allow DNS_53/TCP 68/udp ALLOW IN Anywhere # Allow 68/UDP 22/tcp ALLOW IN Anywhere 67/udp (v6) ALLOW IN Anywhere (v6) # Allow 67/UDP 53/udp (v6) ALLOW IN Anywhere (v6) # Allow DNS_53/UDP 53/tcp (v6) ALLOW IN Anywhere (v6) # Allow DNS_53/TCP 68/udp (v6) ALLOW IN Anywhere (v6) # Allow 68/UDP 22/tcp (v6) ALLOW IN Anywhere (v6) ..... .....
Устранение неполадок
Трафик DHCP и DNS по-прежнему блокируется?
Посмотрите логи UFW следующим образом, используя команду tail в режиме реального времени:
Запрос к файлу /var/log/ufw.log можно выполнить еще вот так:
Сопоставить протоколы (PROTO) и порт назначения (DPT)/порт источника (SPT) можно следующим образом:
Также можно использовать команду journalctl следующим образом:
Опция -g или –grep фильтрует вывод записей, в которых поле MESSAGE= соответствует заданным PERL-совместимым регулярным выражениям.
Обратите внимание, что если в шаблоне все строчные буквы, то совпадение не зависит от регистра.
В противном случае совпадение происходит с учетом регистра.
Это может быть отменено с помощью опции –case-sensitive=<true|false> следующим образом:
Блокирование трафика DHCP и DNS с помощью UFW
Нужно ли блокировать трафик DHCP и DNS?
Синтаксис запрета выглядит следующим образом:
Заключени
На этой странице были рассмотрены правила UFW для открытия портов для DHCP-трафика.
Номер порта | Протокол | Описание |
---|---|---|
53 | TCP & UDP | DNS |
853 | TCP | DNS over TLS |
853 | UDP | DNS over DTLS |
67 | UDP | bootps |
68 | UDP | bootpc |
Можно воспользоваться командой grep или egrep, запросив файл /etc/services.
Например:
Спонсор статьи – наши партнеры – видеонаблюдение под ключ