我正在构建一个kickstart网络,它位于不同的VLAN上,使用自己的DHCP服务器.出于某种原因,我的kickstart客户端不断从我的主DHCP服务器分配IP.

我设置它的方式是我在这个路由器上有一个主DHCP服务器：

192.168.15.1

连接到该DHCP服务器的是IP为192.168.15.2的交换机.我的kickstart(Scientific Linux)服务器连接到两个端口上的交换机：

端口2 – kickstart服务器通过eth0与生产网络的其余部分通信.分配给该接口上的服务器的IP是192.168.15.100(在eth0上).细节是：

Interface: eth0
IP: 192.168.15.100
Netmask: 255.255.255.0
Gateway: 192.168.15.1

端口7 – 拥有自己的VLAN ID(以及端口8). kickstart服务器连接到该端口,IP为172.16.15.100(在eth1上).同样,细节是：

Interface: eth1
IP: 172.16.15.100
Netmask: 255.255.255.0
Gateway: none

kickstart服务器运行自己的DHCP服务器并通过eth1分配它们.大多数kick start都是通过端口8在kickstart VLAN上构建的.为了防止kickstart DHCP服务器通过生产网络分配地址,我的路由设置如下：

route add -host 255.255.255.255 dev eth1

此时,客户端不断从192.168.15.1 DHCP服务器分配IP.我需要弄清楚阻止客户端请求到达DHCP的方法.应该注意的是,我也在kickstart服务器上构建KVM主机,因此我需要这些KVM能够在我完成解决此特定问题后通过网桥从192.168.15.1 DHCP服务器获取DHCP请求. (目前,他们通过NAT进行通信).

那么解决这个问题会怎么做？通过iptables或某种路由我需要输入？

我试图通过该接口上的IPtables限制请求,允许对172.16.15.x网络的DHCP请求：

-A INPUT -i eth1 -s 172.16.15.0/24 -p udp -m udp --dport 69 -j ACCEPT
-A INPUT -i eth1 -s 172.16.15.0/24 -p tcp -m tcp --dport 69 -j ACCEPT
-A INPUT -i eth1 -s 172.16.15.0/24 -p udp -m udp --dport 68 -j ACCEPT
-A INPUT -i eth1 -s 172.16.15.0/24 -p tcp -m tcp --dport 68 -j ACCEPT
-A INPUT -i eth1 -s 172.16.15.0/24 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i eth1 -s 172.16.15.0/24 -p tcp -m tcp --dport 67 -j ACCEPT

并拒绝来自192.168.15.x网络的eth1的分配：

-A FORWARD -o eth1 -s 192.168.15.0/24 -p udp -m udp --dport 69 -j REJECT
-A FORWARD -o eth1 -s 192.168.15.0/24 -p tcp -m tcp --dport 69 -j REJECT
-A FORWARD -o eth1 -s 192.168.15.0/24 -p udp -m udp --dport 68 -j REJECT
-A FORWARD -o eth1 -s 192.168.15.0/24 -p tcp -m tcp --dport 68 -j REJECT
-A FORWARD -o eth1 -s 192.168.15.0/24 -p udp -m udp --dport 67 -j REJECT
-A FORWARD -o eth1 -s 192.168.15.0/24 -p tcp -m tcp --dport 67 -j REJECT

不.