Numéro de port requis pour les filtres de pare-feu DHCP

Lorsque vous configurez un filtre de pare-feu pour effectuer une action sur les paquets DHCP au niveau du moteur de routage, par exemple en protégeant le moteur de routage en autorisant uniquement les paquets DHCP appropriés, vous devez spécifier les ports 67 (bootps) et 68 (bootpc) pour la source et la destination. Le filtre de pare-feu agit à la fois sur les cartes de ligne et sur le moteur de routage.

Cette exigence s’applique à la fois au serveur local DHCP et au relais DHCP, mais elle ne s’applique que lorsque DHCP est fourni par le processus jdhcpd. Les routeurs MX Series utilisent jdhcpd. Pour le relais DHCP, cela signifie que la configuration n’est requise qu’au niveau de la [edit forwarding-options dhcp-relay] hiérarchie et non au niveau de la [edit forwarding-options helpers bootp] hiérarchie.

Les paquets DHCP reçus sur les cartes de ligne sont encapsulés par jdhcpd avec un nouvel en-tête UDP où leurs adresses source et de destination sont définies sur le port 68 avant d’être transmises au moteur de routage.

Pour le relais DHCP et le proxy DHCP, les ports UDP source et de destination des paquets envoyés au serveur DHCP à partir du routeur ont tous deux la valeur 67. Le serveur DHCP répond en utilisant les mêmes ports. Toutefois, lorsque la carte de ligne reçoit ces paquets de réponse DHCP, elle change les deux numéros de port de 67 à 68 avant de transmettre les paquets au moteur de routage. Par conséquent, le filtre doit accepter le port 67 pour les paquets relayés du client au serveur, et le port 68 pour les paquets relayés du serveur au client.

Si les ports 67 et 68 ne sont pas inclus comme décrit ici, la plupart des paquets DHCP ne seront pas acceptés.

Pour plus d’informations sur la configuration générale des filtres de pare-feu, reportez-vous au Guide de l’utilisateur des stratégies de routage, filtres de pare-feu et mécanismes de contrôle du trafic de Junos OS pour les périphériques de routage.