关于拦截 dhcp 的问题

关于拦截 dhcp 的问题

拦截 dhcp 数据包是一个看似简单，可是有时候倒是死活都不生效的问题。

从 dhcp 协议上来看，拦截 dhcp 彷佛是很简单的。dhcp 客户端从 udp 68 端口广播发出 dhcp 请求，目标地址为 255.255.255.255，目标端口为 udp 67。
而后 dhcp 服务器响应请求，从 udp 67 端口向客户端 udp 68 端口回应数据。

按照这个流程来看，用 iptables 来拦截一个坏蛋服务器的响应，规则是很简单的：

iptables -t filter -A INPUT -m mac --mac-source <坏蛋 dhcp 的 mac 地址> \
    -p udp --sport 67 --dport 68 -j DROP

可是，你试试看，在默认安装的 ubuntu-server 上，这个规则彻底不起做用！

具体的缘由是由于 dhcp 客户端使用了 raw socket ，而 raw socket 在 netfilter 处理以前就得到了数据包，见 https://www.mail-archive.com/netfilter@lists.samba.org/msg03189.html。

ubuntu-server 和 centos 使用的 dhcp 客户端为 isc dhcp client，经过 raw socket 请求 dhcp，所以经过 netfilter 框架是没有办法直接拦截到 dhcp 的！！！