заблокировать пакеты DHCPOFFER

man dhclient.conf

Опция reject

Повторюсь: «с помощью iptables»

Зачем это делать при помощи iptables, когда это должен делать клиент dhcp?

iptables -A INPUT -p udp -m udp --dport 68 -m mac --mac-sourc 11:11:11:11:11:11 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 68 -j REJECT

Оно ?

>Зачем это делать при помощи iptables, когда это должен делать клиент dhcp?

Потому-что клиенты могут быть разными, с разными конфигами и версиями. Для dhcpcd, например, вопрос решается через whitelist, но это на новых его версиях. Для других клиентов - по другому. А хочется «серебрянную пулю».

во первых это делается не через iptables (в данном случае - через ж*пу), а в настройках dhcp клиента.

во вторых - читай ман по конфигу dhclient.

>iptables -A INPUT -p udp -m udp --dport 68 -m mac --mac-sourc 11:11:11:11:11:11 -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 68 -j REJECT

Неплохой вариант. Правда я хотел обрубать только dhcpoffer, но по зрелому размышлению, зачем мне вообще слушать левые dhcp-сервера? Буду проверять, большое спасибо!

>во первых это делается не через iptables (в данном случае - через ж*пу), а в настройках dhcp клиента.

Читай заблокировать пакеты DHCPOFFER (комментарий)

во вторых - читай ман по конфигу dhclient.

и снова читай заблокировать пакеты DHCPOFFER (комментарий)

На свой вопрос «Как на linux-клиенте с помощью iptables заблокировать входящие пакеты DHCPOFFER, за исключением приходящих с некоторых MAC-адресов?» нашел ответ : «НИКАК»

По разным источникам выходит, что dhcp использует не линуксовый tcp/ip-стек, а raw-сокеты. Значит, его пакеты уходят и принимаются помимо iptables. Вывод - с помощью iptables его контролировать бесполезно. Вот такая веселая неконтролируемая гадость на клиентах есть.

Пруфы: http://louwrentius.blogspot.com/2010/12/why-filtering-dhcp-traffic-is-not.html http://www.mail-archive.com/netfilter@lists.samba.org/msg03194.html

Потому-что клиенты могут быть разными, с разными конфигами и версиями.

А у тебя много разных клиентов?

Немного