主页 / unix / 问题 / 675495
Accepted
Bryon
Asked: 2021-10-31 23:18:16 +0800 CST

在 RHEL8 上设置 DHCP

  • 772

我正在使用 rhel 8 设置防火墙/网关路由器。我有一个带有两个 NICS 的服务器,一个面向公众,它是一个 dhcp 客户端,第二个 NIC 将面向内部。第一个 NIC 是公共区域,第二个 NIC 是内部区域。我想让面向内部的 NIC 成为内部客户端的 DHCP 服务器。

我需要阻止我的 DHCP 服务器在公共区域接收 DHCP 请求。

问题:您能否将 dhcp 配置为仅用于特定 NIC 的服务器,或者您是否使用防火墙规则来管理它以阻止来自公共区域的所有 DHCP?设置这样的多功能网关时有什么好的做法?

rhel dhcp

2 个回答

  1. Best Answer

    在 RHEL 8 中,dhcpd.service使用命令行$DHCPDARGS上的变量:ExecStart=

    # /usr/lib/systemd/system/dhcpd.service
[Unit]
Description=DHCPv4 Server Daemon
Documentation=man:dhcpd(8) man:dhcpd.conf(5)
Wants=network-online.target
After=network-online.target
After=time-sync.target

[Service]
Type=notify
EnvironmentFile=-/etc/sysconfig/dhcpd
ExecStart=/usr/sbin/dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid $DHCPDARGS
StandardError=null

[Install]
WantedBy=multi-user.target

    但是定义这样一个变量的环境文件/etc/sysconfig/dhcpd有一个警告,告诉你不要再使用那个文件了:

    cat /etc/sysconfig/dhcpd 
# WARNING: This file is NOT used anymore.

# If you are here to restrict what interfaces should dhcpd listen on,
# be aware that dhcpd listens *only* on interfaces for which it finds subnet
# declaration in dhcpd.conf. It means that explicitly enumerating interfaces
# also on command line should not be required in most cases.

# If you still insist on adding some command line options,
# copy dhcpd.service from /lib/systemd/system to /etc/systemd/system and modify
# it there.
# https://fedoraproject.org/wiki/Systemd#How_do_I_customize_a_unit_file.2F_add_a_custom_unit_file.3F

# example:
# $ cp /usr/lib/systemd/system/dhcpd.service /etc/systemd/system/
# $ vi /etc/systemd/system/dhcpd.service
# $ ExecStart=/usr/sbin/dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid <your_interface_name(s)>
# $ systemctl --system daemon-reload
# $ systemctl restart dhcpd.service

    因此,显然 RHEL 8 的 ISC dhcpd 已被修补,以根据其配置文件是否包含接口的子网声明来选择要侦听的接口。如果特定接口没有子网声明,则不应响应该接口。

    由于 DHCP 协议在 IPv4 上的工作方式,dhcpd需要使用原始套接字(以便能够接收源地址为 0.0.0.0 和目标地址为 255.255.255.255 的广播数据包,并且还可以不受限制地发送到 255.255.255.255通过普通的 IPv4 路由),因此无论如何它都需要更仔细地处理其传入的数据包。

    因为dhcpd使用原始套接字,所以它也不受iptables防火墙的影响。

    如果您仍然希望在命令行中添加接口名称,您可以cp /lib/systemd/system/dhcpd.service /etc/systemd/system/然后在 中修改版本/etc/systemd/system,或者仅用于systemctl edit dhcpd.service创建覆盖文件。当然,您需要记住服务文件可能有多ExecStart=行,因此为了覆盖现有行而不是仅仅添加另一行,您将运行systemctl edit dhcpd.service并输入三行:

    [Service]
ExecStart=
ExecStart=/usr/sbin/dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd --no-pid <your_interface_name(s)>

    第一个空ExecStart=行告诉 systemd 您要覆盖ExecStart服务文件中的现有定义,而不是添加第二个定义。

    如果使用cp /lib/systemd/system/dhcpd.service /etc/systemd/system/策略,记得systemctl daemon-reload修改/etc/systemd/system/dhcpd.service文件后运行。

    如果您使用systemctl edit dhcpd.service,它将systemctl daemon-reload自动为您运行等效的 。

    • 1

  2. 这取决于您使用的是哪个特定的 dhcp 守护程序,但是可以,可以配置 dhcp 守护程序以根据 dhcp/bootp 请求来自哪个接口给出不同的答案,或者运行 dhcpd 的多个实例,每个实例都配置为只听一个接口。

    在您的情况下,听起来您只想告诉您的 dhcpd 仅在您的私有 LAN 接口上侦听。如果您使用的是 ISC dhcpd,则只需将您希望它侦听的接口的名称添加到 dhcpd 命令行即可。

    例如,在我的系统上,我希望 dhcpd 仅在我的无线wifi0br0

    /usr/sbin/dhcpd -4 -q -cf /etc/dhcp/dhcpd.conf br0 wlan0
    • 0

相关问题