pfSense: DHCP-Broadcasts ausschliessen

Viele DHCP-Broadcats fluten die firewall logs. Werden diese abgestellt wir firewall logfile viel übersichtlicher.

Standardmässig sieht man in den firewall logs sehr viele Einträge wie:

Interface Source Destination Protocol Action
WAN <LOKALE-IP-ADRESSE>:68 255.255.255.255:67 UDP DROP

Das „erlauben“ dieses DHCP-Broadcast traffic stoppt jedoch die Log-Einträge nicht.

Schuld ist die Standardregel: „Block private networks and loopback“ addresses, welche man beim WAN Interface auswählen kann. Obwohl es durchaus gewünscht ist, dass Pakete mit privaten IP-Adressen auf dem WAN Interface geblockt werden, jedoch braucht es eine Ausnahme für die Broadcast Adresse. Und da man keine Regeln über die Standardregeln legen kann, muss diese Standardregel zuerst manuell erstellt- und danach deaktiviert werden:

Zuerst wird unter Firewall -> Aliases ein neuer Alias angelegt, welche die Netzwerke: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 127.0.0.0/8, fc00::/7 (letzteres als IPv6) enthält (Name, z.B.: PRIVATE_NET).

Nun wird auf dem WAN Interface zwei neue Regeln erstellt:

Protocol Source Destination Action
IPv4 UDP * 255.255.255.68 BLOCK
IPv4+6* PRIVATE_NET:* * BLOCK+LOG

Zum Abschluss geht man auf: Interfaces -> WAN und deaktiviert dort den Punkt: Block private networks and loopback.

Damit werden nun DHCP-Broadcast (still) geblockt und alle anderen Pakete mit einer lokalen LAN Adresse auf dem WAN Interface geblockt und geloggt.

DHCP in der firewall blocken
Im Prinzip ist das „blocken von DHCP requests in der Firewall gar nicht möglich, da DHCP auf einer Netzwerk-Ebene unter der Firewall arbeitet.

Die DHCP-Block-Regel oben ist deshalb rein symbolisch und könnte anstelle davon auch eine Allow-Regel sein.

Quelle: forum.pfsense.org: Disable fw logging of DHCP broadcast

Published by

Steven Varco

Steven ist ein Redhat RHCE-Zertifizierter Linux-Crack und ist seit über 20 Jahren sowohl beruflich wie auch privat auf Linux spezialisiert. In seinem Keller steht ein Server Rack mit diversen ESX und Linux Servern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.