Tenho um servidor que recebe seu endereço IP por DHCP. Isso parece funcionar e a conectividade está funcionando (no momento). No entanto, eu não reiniciei desde a instalação de um novo /etc/sysconfig/iptablesarquivo para que eu pudesse perder muito na próxima reinicialização.
Percebi que meu firewall bloqueia conexões DHCP UDP de saída como esta:
[22994.373788] Firewall: *UDP_OUT Blocked* IN= OUT=enup0 SRC=$OUR_IP DST=$DHCP_SERVER_IP LEN=328 TOS=0x00 PREC=0x00 TTL=64 ID=53942 DF PROTO=UDP SPT=68 DPT=67 LEN=308 UID=0 GID=0
Presumivelmente, isso é algum comando do cliente DHCP, como o pedido de renovação da concessão DHCP?
O que acontece se eu bloquear esta solicitação de saída? Se isso depende da implementação do servidor DHCP: Talvez um documento RFC exija que eu não bloqueie isso?
Relacionado: As regras de firewall são inicializadas de /etc/sysconfig/iptables(por iptables.service) antes ou depois que a rede é ativada durante a inicialização?
Desejo bloquear o máximo possível, caso contrário, permitiria em vez de perguntar aqui.
A consequência de bloquear esse acesso é que seu cliente DHCP não poderá renovar sua concessão de endereço IP até que expire.
Quando a concessão expira e o cliente ainda não consegue acessar o servidor DHCP por unicast, o cliente DHCP desconfigurará o endereço IP atual e, em seguida, iniciará o processo de solicitação DHCP desde o início, usando broadcasts para que os pacotes sejam endereçados 0.0.0.0: 68 -> 255.255.255.255:67. Como isso viola as regras normais de endereçamento IP, no Linux o cliente DHCP precisará usar soquetes brutos, que não serão bloqueados pelas regras regulares de filtro do iptables. A menos que o segmento de rede tenha uma escassez aguda de endereços IP, o servidor DHCP provavelmente emitirá novamente o mesmo endereço IP ao seu sistema quando receber a solicitação de transmissão.
Portanto, o efeito geral será que o sistema ainda obterá seu endereço IP, mas você poderá experimentar uma falha de conectividade IP breve, mas totalmente desnecessária, toda vez que a concessão DHCP do sistema expirar.