Viele DHCP-Broadcats fluten die firewall logs. Werden diese abgestellt wir firewall logfile viel übersichtlicher.
Standardmässig sieht man in den firewall logs sehr viele Einträge wie:
Interface | Source | Destination | Protocol | Action |
WAN | <LOKALE-IP-ADRESSE>:68 | 255.255.255.255:67 | UDP | DROP |
Das „erlauben“ dieses DHCP-Broadcast traffic stoppt jedoch die Log-Einträge nicht.
Schuld ist die Standardregel: „Block private networks and loopback“ addresses, welche man beim WAN Interface auswählen kann. Obwohl es durchaus gewünscht ist, dass Pakete mit privaten IP-Adressen auf dem WAN Interface geblockt werden, jedoch braucht es eine Ausnahme für die Broadcast Adresse. Und da man keine Regeln über die Standardregeln legen kann, muss diese Standardregel zuerst manuell erstellt- und danach deaktiviert werden:
Zuerst wird unter Firewall -> Aliases ein neuer Alias angelegt, welche die Netzwerke: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 127.0.0.0/8, fc00::/7 (letzteres als IPv6) enthält (Name, z.B.: PRIVATE_NET).
Nun wird auf dem WAN Interface zwei neue Regeln erstellt:
Protocol | Source | Destination | Action |
IPv4 UDP | * | 255.255.255.68 | BLOCK |
IPv4+6* | PRIVATE_NET:* | * | BLOCK+LOG |
Zum Abschluss geht man auf: Interfaces -> WAN und deaktiviert dort den Punkt: Block private networks and loopback.
Damit werden nun DHCP-Broadcast (still) geblockt und alle anderen Pakete mit einer lokalen LAN Adresse auf dem WAN Interface geblockt und geloggt.
[stextbox id=“info“ caption=“DHCP in der firewall blocken“]Im Prinzip ist das „blocken von DHCP requests in der Firewall gar nicht möglich, da DHCP auf einer Netzwerk-Ebene unter der Firewall arbeitet.
Die DHCP-Block-Regel oben ist deshalb rein symbolisch und könnte anstelle davon auch eine Allow-Regel sein.[/stextbox]
Quelle: forum.pfsense.org: Disable fw logging of DHCP broadcast