Can&#39;t we whitelist the real dhcp server on udp port 68, and drop packets on the lan whose source port is 68 and not on the whitelist?<br><br><div class="gmail_quote">On Tue, Jun 5, 2012 at 3:27 PM, John Adams <span dir="ltr">&lt;<a href="mailto:jna@retina.net" target="_blank">jna@retina.net</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">One thing that we do is to put a blanket ACL across untrusted networks.<div><br></div><div>Block UDP <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> port 67 and port 68 from your LANs and from any source that shouldn&#39;t be offering DHCP.<span class="HOEnZb"><font color="#888888"><div>

<br></div><div>-john</div></font></span><div class="im"><div><br></div><div><div class="gmail_quote">On Tue, Jun 5, 2012 at 1:40 PM, Jonathan Lassoff <span dir="ltr">&lt;<a href="mailto:jof@thejof.com" target="_blank">jof@thejof.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>On Tue, Jun 5, 2012 at 12:44 PM, Ben Kochie &lt;<a href="mailto:ben@nerp.net" target="_blank">ben@nerp.net</a>&gt; wrote:<br>


&gt; We could easily separate some of the services off of the one NAT box.<br>
&gt;<br>
&gt; I&#39;ve thought about setting up a synced virtual router on stallion using<br>
&gt; failoverd and vyatta&#39;s NAT state sync.<br>
&gt;<br>
&gt; It would also possibly make sense to put the local DHCP/DNS services on a<br>
&gt; separate instance from the NAT handling.  We can easily do this with some<br>
&gt; virtual machines on stallion.  Or we could move some of these services to<br>
&gt; minotaur.<br>
<br>
</div>I think there is some value to keeping all of the network functions on<br>
something that is mounted to the &quot;Wall-O-Tubes&quot;. This way, there is a<br>
clear distinction as to what hardware is the bare-minimum necessary to<br>
keep basic services working.<br>
<br>
Perhaps we could:<br>
 - add another soekris or atom board<br>
 - Wire up some 2.4 Ghz APs to the W.O.T. (there is/was a 5 ghz one)<br>
 - Setup all downstream distribution through that Juniper EX, setup<br>
DHCP-based port security protections<br>
</blockquote></div><br></div></div></div>
<br>_______________________________________________<br>
Noisebridge-discuss mailing list<br>
<a href="mailto:Noisebridge-discuss@lists.noisebridge.net">Noisebridge-discuss@lists.noisebridge.net</a><br>
<a href="https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss" target="_blank">https://www.noisebridge.net/mailman/listinfo/noisebridge-discuss</a><br>
<br></blockquote></div><br>