this 回答に基づいて、ポート67をブロックするUDP発信は
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p udp -m udp --dport=67 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -j DROP
firewall-cmd --reload
ポート67 UDPはDHCPサーバーが使用するポートなので、DHCPサーバーを起動する前にポートが本当にブロックされていることを確認したいので、サンドボックスで実験できます。
質問
UDPで1024未満なので、ブロックされていることをどのように確認できますか?
Netcatなどのツールを使用できます(サーバー上でecho test | nc -u <other IP> 67
および別のマシン上nc -u -l -p 67
、またはWiresharkなどを使用して、メッセージが表示されるかどうかを確認します。
ポート67 UDPはDHCPサーバーが使用するポートなので、dhcpサーバーを起動する前にポートが本当に閉じていることを確認したいので、サンドボックスで実験できます。
テストDHCPサーバーは、VLANに分離するか、既存のDHCP範囲と重複しないスプリットスコープで構成する必要があります。テストと本番環境が同じブロードキャストドメインにある場合は、予期しない動作を引き起こす可能性があります。参照: 1つのネットワーク上に2つのDHCPサーバー
また、dhcpdがこのサンドボックスネットをリッスンするインターフェイスを制限することもできます。リレーエージェントがない場合、他のネット上のDHCPDISCOVERメッセージは表示されません。
NmapのUDPポートスキャンを使用してプロトコルとポートを指定できると思います。構文は次のとおりです。
$ Sudo nmap -sU -p port target