Com base nesta resposta, o bloqueio de saída UDP da porta 67 deve ser
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p udp -m udp --dport=67 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -j DROP
firewall-cmd --reload
A porta 67 UDP é a porta que um servidor DHCP usa, então gostaria de verificar se a porta está realmente bloqueada antes de iniciar o servidor DHCP, para que eu possa experimentá-la em um sandbox.
Pergunta
Como é UDP e abaixo de 1024, como posso confirmar que está bloqueado?
Você pode usar uma ferramenta como o netcat (no servidor
echo test | nc -u <other IP> 67e em outra máquinanc -u -l -p 67, ou usar o Wireshark ou similar) e ver se a mensagem aparece.Tenho certeza que você pode usar a varredura de porta UDP do Nmap para especificar o protocolo e a porta. A sintaxe é a seguinte:
Um servidor DHCP de teste deve ser isolado em uma VLAN ou configurado com escopos divididos que não se sobreponham aos intervalos DHCP existentes. Se o teste e a produção estiverem no mesmo domínio de transmissão, qualquer um deles poderá obter a transmissão, o que pode causar um comportamento inesperado. Veja: 2 servidores DHCP em uma rede
Além disso, você pode limitar as interfaces que o dhcpd está ouvindo nesta rede de sandbox. Sem agentes de retransmissão, ele não verá mensagens DHCPDISCOVER em outras redes.