DHCP 防火墙过滤器的端口号要求

将 防火墙过滤器 配置为对路由引擎上的 DHCP 数据包执行某些操作（例如，通过仅允许正确的 DHCP 数据包来保护路由引擎）时，必须为源和目标指定端口 67 （bootps） 和端口 68 （bootpc）。防火墙过滤器同时作用于线卡和路由引擎。

此要求适用于 DHCP 本地服务器和 DHCP 中继，但仅当 jdhcpd 进程提供 DHCP 时才适用。MX 系列路由器使用 jdhcpd。对于 DHCP 中继，这意味着仅在层次结构级别不需要 配置，而在层次结构级别不需要 配置。[edit forwarding-options dhcp-relay][edit forwarding-options helpers bootp]

在线卡上接收的 DHCP 数据包由 jdhcpd 使用新的 UDP 标头封装，其中其源地址和目标地址在转发到路由引擎之前设置为端口 68。

对于 DHCP 中继和 DHCP 代理，从路由器发送到 DHCP 服务器的数据包的源和目标 UDP 端口均设置为 67。DHCP 服务器使用相同的端口进行响应。但是，当线卡收到这些 DHCP 响应数据包时，它会在将数据包传递到路由引擎之前将两个端口号从 67 更改为 68。因此，过滤器需要接受端口 67 用于从客户端中继到服务器的数据包，并接受端口 68（用于从服务器中继到客户端的数据包）。

如果未能同时包含端口 67 和端口 68（如此处所述），则会导致大多数 DHCP 数据包不被接受。

有关常规配置防火墙过滤器的完整信息，请参阅 Junos OS 路由策略、防火墙过滤器和路由设备流量监管器用户指南。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html