Configuration DHCP Relay sur Checkpoint

octobre 02, 2013  |   Actualités,Blog   |     |   0 commentaire

 La configuration du DHCP Relay est connue pour les Firewalls Checkpoint, cependant les flux à autoriser sont parfois compliqués à connaître :

Sur ce schéma ce sont deux agences connectées en VPN IPSec (de type HQ-SOHO “HeadQuarters & Small Office/Home Office)

dhcp1

  • Règles au niveau du FW HQ (HeadQuarters) :dhcp2

 

  • Règles au niveau du FW SOHO (Small Office/Home Office) :

dhcp3

 

NB : Le service « dhcp-relay » correspond au port UDP 67 (en DHCP Relay il est utilisé en source et destination à la différence du DHCP Classique qui lui utilise le port UDP 68 en source)

  • Règle 33 : Permet à tous les hosts d’effectuer des requêtes « Broadcast » à destination de l’interface interne du Firewall (interface en écoute de la requête DHCP sur le port 67) et qui va se charger de relayer la requête.

  • Règle 34 : Autoriser le Firewall  à relayer la requête reçue au(x) serveur(s) DHCP

  • Règle 35 : Autoriser le(s) serveur(s) à répondre

Le troubleshooting en ligne de commande se fait de la manière suivante :

FW-XXX-001[admin]# fw monitor -e 'accept [22:2,b] = 67 or [20:2,b] = 68;'
monitor: getting filter (from command line)
monitor: compiling
monitorfilter:
Compiled OK.
monitor: loading
monitor: monitoring (control-C to stop)
Apr 16 11:54:46 FW-XXX-001 <kern.[LOG_CRIT]> kernel: FW-1: monitor filter loaded
eth2c0:i[364]: 0.0.0.0 -> 255.255.255.255 (UDP) len=364 id=0
UDP: 68 -> 67
eth2c0:I[364]: 0.0.0.0 -> 255.255.255.255 (UDP) len=364 id=0
UDP: 68 -> 67
eth1c0:o[364]: 10.200.75.1 -> 10.111.14.107 (UDP) len=364 id=9897
UDP: 67 -> 67

 

Les commentaires sont fermés.