关于iptables不能过滤DHCP包
时间:2010-08-04 来源:ggyyunix
http://www.chinaunix.net/jh/4/577494.html
https://lists.netfilter.org/pipermail/netfilter/2002-May/023826.html
原来iptables本来就是不能过滤dhcp包的。原因有两个:
(1)ptables 之所以不能拦截 DHCPREQUREST 的主要原因,就是因为 iptables 不支持 raw socket 造成的,dhcp 协议属于 raw socket
(2)还根iptables的实现有关。只要保证在数据报走到iptables的hook之前被clone一份交给其他协议处理,那么iptables将无法将缓冲区的这个包Drop掉。
(1)ptables 之所以不能拦截 DHCPREQUREST 的主要原因,就是因为 iptables 不支持 raw socket 造成的,dhcp 协议属于 raw socket
(2)还根iptables的实现有关。只要保证在数据报走到iptables的hook之前被clone一份交给其他协议处理,那么iptables将无法将缓冲区的这个包Drop掉。
相关阅读 更多 +
