如何防止TINC中继DHCP

Question

我在几个运行Debian 7 Wheezy的NAT路由器中运行tinc，VPN工作了几个月，除非我在切换模式下设置它，它在所有VPN上中继DHCP请求和应答。问题是，主机A正在使用一个池，DHCP为10.10.10-254，网关为10.10.10.1 (主机A)，主机B为10.10.2-254为DHCP，10.10.20.1为网关(主机B)，依此类推。

请注意，tap (以太网)接口是通过物理LAN接口桥接的，因为我的“云”的目的是使所有网络中的所有主机(A，B.)出现在同一个局域网中。

我正在寻找一个简单的解决方案来克服这一点。在指定tinc接口时，尝试使用iptables和physdev，但这似乎不起作用。

对此还有其他解决办法吗？

P.S:把tinc切换到路由器模式不是一个解决方案，因为我真的需要多播和其他不可路由的协议。

Answer 1

如果sysctl变量net.bridge ge.bridge-nf设置为1，它应该与iptables -t mangle -m physdev一起工作。

sysctl -w net.bridge.bridge-nf-call-iptables=1
iptables -t mangle -I PREROUTING -m physdev --physdev-in vpn1 \
    -p udp --dport 67:68 -j DROP

您还可以选择用退潮来阻止它：

## dont accept dhcp packets directed to the local machine
ebtables -A INPUT --in-interface vpn1 --protocol ipv4 \
    --ip-protocol udp --ip-destination-port 67:68 -j DROP

## dont forward dhcp packets coming in from vpn
ebtables -A FORWARD --in-interface vpn1 --protocol ipv4 \
    --ip-protocol udp --ip-destination-port 67:68 -j DROP

## dont send dhcp requests over vpn
ebtables -A FORWARD --out-interface vpn1 --protocol ipv4 \
   --ip-protocol udp --ip-destination-port 67:68 -j DROP