dhcpd должен принимать запросы только с relay серверов, но т.к. висит на интерфейсе то на него приходят запросы из локальной сети (на которые он не должен отвечать). iptables (включая raw)/ebtables бесполезны т.к. dhcpd слушает raw socket раньше netfilter. Пробовал блокануть в ebtables на гипервизере (proxmox) - аналогично запросы проходят (что уже странно, но может в virtio дело).
Конечно можно попробовать запихнуть в отдельный bridge, на отдельный vlan и зарезать по acl уровнем выше, но это совсем кошмар для такой простой операции.
Может есть хитрая опция в dhcpd.conf которая позволит заблокировать запросы с 0.0.0.0? Пока пробую создать class который фильтрует по наличию opt82 и раздает адрес только подходящим клиентам, но не совсем понятно как это будет работать вкупе с классами которые по opt82 раздают статические ip (но это в процессе проверки), но мне такое решение кажется излишне костыльним и должно быть что-то более элегантное.
Ответ на:
комментарий
от vel