Проблемы с DHCP: клиент не может получить адрес

[BSB]

На шлюзе поднят dnsmasq, он дает подсети 192.168.0.0/24 на eth0 адреса из 192.168.1.0/24 на eth1. iptables настроен обычно, с той лишь фишкой, что клиентов на 80-м порту, ломящихся в интернет, перенаправляет на прокси-сервер шлюза:

Код: [Выделить]

*nat
:PREROUTING ACCEPT [66:8933]
:INPUT ACCEPT [66:8933]
:OUTPUT ACCEPT [14:1710]
:POSTROUTING ACCEPT [14:1710]
-A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT

*mangle
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

*filter
:INPUT DROP [954:230773]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [763:211059]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
COMMITКонфиг dnsmasq:

Код: [Выделить]

interface=eth1
listen-address=192.168.0.1
bind-interfaces
domain=linux.lan
dhcp-range=192.168.0.2,192.168.0.254,255.255.255.0,24h
dhcp-option=3,192.168.0.1После /etc/init.d/dnsmasq restart всё ОК:

Код: [Выделить]

tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      3765/dnsmasq   
tcp        0      0 192.168.0.1:53          0.0.0.0:*               LISTEN      3765/dnsmasq   
tcp6       0      0 ::1:53                  :::*                    LISTEN      3765/dnsmasq   
udp        0      0 127.0.0.1:53            0.0.0.0:*                           3765/dnsmasq   
udp        0      0 192.168.0.1:53          0.0.0.0:*                           3765/dnsmasq   
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           1174/avahi-daemon:
udp6       0      0 ::1:53                  :::*                                3765/dnsmasq   
udp6       0      0 :::5353                 :::*                                1174/avahi-daemon:

Проблема - клиенты не получают адрес. Что может быть?
Пользователь решил продолжить мысль 18 Августа 2013, 17:47:13:/etc/network/interfaces:

Код: [Выделить]

auto lo
iface lo inet loopback
     post-up iptables-restore </etc/iptables.conf
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet static
     address 192.168.0.1
     netmask 255.255.255.0

[AnrDaemon]

У вас не разрешен трафик на eth1 из локальной сети.

[BSB]

У вас не разрешен трафик на eth1 из локальной сети.

А эти строки разве не решают этой задачи?:

Код: [Выделить]

-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT

[AnrDaemon]

Нет. Они проверяют адрес, которого у машин ещё нет.

[fisher74]

Внимание. Выделяю, на что обратить внимание

Проблема - клиенты не получают адрес. Что может быть?

-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT

Пользователь решил продолжить мысль 18 Августа 2013, 21:15:52:AnrDaemon немного опередил )))

[BSB]

так?

Код: [Выделить]

-A INPUT -i eth1 -p udp -s 0.0.0.0 --sport 68 -d 255.255.255.255 --dport 67 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s 0.0.0.0 --sport 68 -d 255.255.255.255 --dport 67 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s eth1 --sport 67 -d 255.255.255.255 --dport 68 -j ACCEPT
-A INPUT -i eth1 -p udp -s 0.0.0.0 --sport 68 -d eth1 --dport 67 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s eth1 --sport 67 -d 192.168.0.0/24 --dport 68 -j ACCEPT
-A INPUT -i eth1 -p udp -s 192.168.0.0/24 --sport 68 -d eth1 --dport 67 -j ACCEPT

[AnrDaemon]

Простите, а на[вц]...зачем так сложно?

[BSB]

значит, так можно?

Код: [Выделить]

-A OUTPUT -p udp -m udp -o eth1 --dport 67 --sport 68 -j ACCEPT
-A INPUT -p udp -m udp -i eth1 --dport 68 --sport 67 -j ACCEPT

[ArcFi]

Ну, да, ещё нужно разрешить приём DHCP-запросов без явного указания адреса источника.
В упрощённом виде:

Код: [Выделить]

-A INPUT -i eth1 -j ACCEPT

[BSB]

Ну, да, ещё нужно разрешить приём DHCP-запросов без явного указания адреса источника.
В упрощённом виде:

Код: [Выделить]

-A INPUT -i eth1 -j ACCEPT

вот это не понял.
Сюда же и любые другие пакеты попадают, не?

[ArcFi]

Сюда же и любые другие пакеты попадают, не?

Потому и говорю, что в упрощённом виде.
Просто обычно с этим почти никто не заморачивается, потому что трафик из локалки считается доверенным.
Впрочем, в таком виде, по идее тоже должно работать:

Код: [Выделить]

-A OUTPUT -p udp -m udp -o eth1 --dport 67 --sport 68 -j ACCEPT
-A INPUT -p udp -m udp -i eth1 --dport 68 --sport 67 -j ACCEPT

[BSB]

Сюда же и любые другие пакеты попадают, не?

Потому и говорю, что в упрощённом виде.
Просто обычно с этим почти никто не заморачивается, потому что трафик из локалки считается доверенным.

у меня в локалке еще и wifi-роутер торчит, так что вроде и доверенный, а вроде бы и нет
Правильно ли я понял, что для этого можно заменить

Код: [Выделить]

-A INPUT -p udp -m udp -i eth1 --dport 68 --sport 67 -j ACCEPTна

Код: [Выделить]

-A INPUT -p udp -m udp -i eth1 --dport 68 -j ACCEPT?

[ArcFi]

BSB, удаление каких-то условий из работающего правила сохраняет его работоспособность.
Просто спектр действия становится шире.

[BSB]

Итого получается:

Код: [Выделить]

*nat
:PREROUTING ACCEPT [66:8933]
:INPUT ACCEPT [66:8933]
:OUTPUT ACCEPT [14:1710]
:POSTROUTING ACCEPT [14:1710]
-A PREROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT

*mangle
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1300:1500 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

*filter
:INPUT DROP [954:230773]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [763:211059]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A INPUT -p udp -m udp -i eth1 --dport 68 -j ACCEPT
-A OUTPUT -p udp -m udp -o eth1 --dport 67 --sport 68 -j ACCEPT
COMMITМожет еще что-нибудь забыл? Потому что так не работает
Пользователь решил продолжить мысль 18 Августа 2013, 22:58:03:еще вот тут наводящий вопрос:

Код: [Выделить]

-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPTэти правила пропускают все UDP и TCP, работающие стандартно, правильно я понимаю? Другими словами, DHCP - единственный протокол, который ответ шлет другим портом? (и форвардинг в его случае не обязателен?)

[AnrDaemon]

еще вот тут наводящий вопрос:

Код: [Выделить]

-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPTэти правила пропускают все UDP и TCP

Где в этом правиле вы видите упоминание UDP или TCP? Очевидный ответ - нет, к протоколам IP стека это правило никакого отношения не имеет.

И, (внимание, сюрприз!) DHCP работает по UDP.