Laissez les requêtes DHCP traverser iptables

C'est réellement une tâche facile, une fois que vous savez comment DHCP fonctionne, cependant, vous devez prendre des précautions sur ce que vous laissez passer ou non. En premier lieu, nous devons savoir que DHCP fonctionne sur le protocole UDP. Donc, c'est la première chose à voir. En second lieu, nous devons vérifier depuis quelle interface les requêtes sont envoyées et reçues. Par exemple, si notre interface eth0 est activée par DHCP, nous n'autoriserons pas les requêtes DHCP sur eth1. Pour rendre la règle un peu plus précise, nous n'autorisons que les ports UDP utilisés par DHCP, qui sont les ports 67 et 68. Ce sont les critères que nous choisissons pour apparier les paquets, et que nous autorisons.

$IPTABLES  -I INPUT -i $LAN_IFACE -p udp --dport 67:68 --sport \
     67:68 -j ACCEPT
   

Notez que nous autorisons tout le trafic depuis et vers les ports 67 et 68, cependant, ce n'est pas un gros problème car nous n'acceptons que les requêtes des hôtes établissant la connexion depuis les ports 67 et 68. Cette règle peut, bien sûr, être encore plus restrictive, mais elle semble suffisante pour accepter les requêtes DHCP sans ouvrir de larges failles.