Requisitos de número de porta para filtros de firewall DHCP

Quando você configura um filtro de firewall para realizar alguma ação em pacotes DHCP no Mecanismo de Roteamento, como proteger o mecanismo de roteamento permitindo apenas pacotes DHCP adequados, você deve especificar tanto a porta 67 (bootps) quanto a porta 68 (bootpc) para a origem e o destino. O filtro de firewall atua tanto nas placas de linha quanto no Mecanismo de Roteamento.

Esse requisito se aplica tanto ao servidor local DHCP quanto ao transmissor DHCP, mas só se aplica quando o DHCP é fornecido pelo processo jdhcpd. Os roteadores da Série MX usam jdhcpd. Para o retransmissão DHCP, isso significa que a configuração é necessária apenas no nível de [edit forwarding-options dhcp-relay] hierarquia e não no nível de [edit forwarding-options helpers bootp] hierarquia.

Os pacotes DHCP recebidos nas placas de linha são encapsulados pelo jdhcpd com um novo cabeçalho UDP onde seus endereços de origem e destino estão definidos para porta 68 antes de serem encaminhados ao Mecanismo de Roteamento.

Para o retransmissão DHCP e o proxy DHCP, os pacotes enviados ao servidor DHCP do roteador têm as portas UDP de origem e destino definidas para 67. O servidor DHCP responde usando as mesmas portas. No entanto, quando a placa de linha recebe esses pacotes de resposta DHCP, ela altera ambos os números de porta de 67 para 68 antes de passar os pacotes para o Mecanismo de Roteamento. Consequentemente, o filtro precisa aceitar a porta 67 para pacotes transmitidos do cliente para o servidor, e porta 68 para pacotes transmitidos do servidor para o cliente.

A não inclusão da porta 67 e da porta 68 conforme descrito aqui resulta na não aceitação da maioria dos pacotes DHCP.

Para obter informações completas sobre a configuração de filtros de firewall em geral, veja políticas de roteamento do Junos OS, filtros de firewall e guia de usuários de policiais de tráfego para dispositivos de roteamento.