Configuration DHCP Relay sur Checkpoint
La configuration du DHCP Relay est connue pour les Firewalls Checkpoint, cependant les flux à autoriser sont parfois compliqués à connaître :
Sur ce schéma ce sont deux agences connectées en VPN IPSec (de type HQ-SOHO « HeadQuarters & Small Office/Home Office)
-
Règles au niveau du FW HQ (HeadQuarters) :
-
Règles au niveau du FW SOHO (Small Office/Home Office) :
NB : Le service « dhcp-relay » correspond au port UDP 67 (en DHCP Relay il est utilisé en source et destination à la différence du DHCP Classique qui lui utilise le port UDP 68 en source)
-
Règle 33 : Permet à tous les hosts d’effectuer des requêtes « Broadcast » à destination de l’interface interne du Firewall (interface en écoute de la requête DHCP sur le port 67) et qui va se charger de relayer la requête.
-
Règle 34 : Autoriser le Firewall à relayer la requête reçue au(x) serveur(s) DHCP
-
Règle 35 : Autoriser le(s) serveur(s) à répondre
Le troubleshooting en ligne de commande se fait de la manière suivante :
FW-XXX-001[admin]# fw monitor -e 'accept [22:2,b] = 67 or [20:2,b] = 68;' monitor: getting filter (from command line) monitor: compiling monitorfilter: Compiled OK. monitor: loading monitor: monitoring (control-C to stop) Apr 16 11:54:46 FW-XXX-001 <kern.[LOG_CRIT]> kernel: FW-1: monitor filter loaded eth2c0:i[364]: 0.0.0.0 -> 255.255.255.255 (UDP) len=364 id=0 UDP: 68 -> 67 eth2c0:I[364]: 0.0.0.0 -> 255.255.255.255 (UDP) len=364 id=0 UDP: 68 -> 67 eth1c0:o[364]: 10.200.75.1 -> 10.111.14.107 (UDP) len=364 id=9897 UDP: 67 -> 67