One thing that we do is to put a blanket ACL across untrusted networks.<div><br></div><div>Block UDP <a href="http://0.0.0.0/0">0.0.0.0/0</a> port 67 and port 68 from your LANs and from any source that shouldn&#39;t be offering DHCP.<div>
<br></div><div>-john</div><div><br></div><div><div class="gmail_quote">On Tue, Jun 5, 2012 at 1:40 PM, Jonathan Lassoff <span dir="ltr">&lt;<a href="mailto:jof@thejof.com" target="_blank">jof@thejof.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Tue, Jun 5, 2012 at 12:44 PM, Ben Kochie &lt;<a href="mailto:ben@nerp.net">ben@nerp.net</a>&gt; wrote:<br>

&gt; We could easily separate some of the services off of the one NAT box.<br>
&gt;<br>
&gt; I&#39;ve thought about setting up a synced virtual router on stallion using<br>
&gt; failoverd and vyatta&#39;s NAT state sync.<br>
&gt;<br>
&gt; It would also possibly make sense to put the local DHCP/DNS services on a<br>
&gt; separate instance from the NAT handling.  We can easily do this with some<br>
&gt; virtual machines on stallion.  Or we could move some of these services to<br>
&gt; minotaur.<br>
<br>
</div>I think there is some value to keeping all of the network functions on<br>
something that is mounted to the &quot;Wall-O-Tubes&quot;. This way, there is a<br>
clear distinction as to what hardware is the bare-minimum necessary to<br>
keep basic services working.<br>
<br>
Perhaps we could:<br>
 - add another soekris or atom board<br>
 - Wire up some 2.4 Ghz APs to the W.O.T. (there is/was a 5 ghz one)<br>
 - Setup all downstream distribution through that Juniper EX, setup<br>
DHCP-based port security protections<br>
</blockquote></div><br></div></div>