Requisitos de número de puerto para filtros de firewall DHCP

Cuando configure un filtro de firewall para realizar alguna acción en paquetes DHCP en el motor de enrutamiento, como proteger el motor de enrutamiento permitiendo solo los paquetes DHCP adecuados, debe especificar tanto el puerto 67 (bootps) como el 68 (bootpc) tanto para el origen como para el destino. El filtro de firewall actúa tanto en las tarjetas de línea como en el motor de enrutamiento.

Este requisito se aplica tanto al servidor local DHCP como al relé DHCP, pero solo se aplica cuando DHCP lo proporciona el proceso jdhcpd. Los enrutadores serie MX usan jdhcpd. Para el relé DHCP, esto significa que la configuración solo se requiere en el [edit forwarding-options dhcp-relay] nivel de jerarquía y no en el [edit forwarding-options helpers bootp] nivel de jerarquía.

jdhcpd encapsula los paquetes DHCP recibidos en las tarjetas de línea con un nuevo encabezado UDP en el que sus direcciones de origen y destino se establecen en el puerto 68 antes de reenviarse al motor de enrutamiento.

Para el relé DHCP y el proxy DHCP, los paquetes enviados al servidor DHCP desde el enrutador tienen los puertos UDP de origen y destino establecidos en 67. El servidor DHCP responde con los mismos puertos. Sin embargo, cuando la tarjeta de línea recibe estos paquetes de respuesta DHCP, cambia ambos números de puerto del 67 al 68 antes de pasar los paquetes al motor de enrutamiento. En consecuencia, el filtro debe aceptar el puerto 67 para los paquetes transmitidos desde el cliente al servidor, y el puerto 68 para los paquetes transmitidos desde el servidor al cliente.

Si no se incluyen los puertos 67 y 68 como se describe aquí, la mayoría de los paquetes DHCP no se aceptan.

Para obtener información completa acerca de la configuración de filtros de firewall en general, consulte Guía del usuario para dispositivos de enrutamiento de Junos OS, filtros de firewall y policías de tráfico.