小さいポート(67 UDP)がファイアウォールによってブロックされていることを確認するにはどうすればよいですか?
this 回答に基づいて、ポート67をブロックするUDP発信は
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p udp -m udp --dport=67 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -j DROP
firewall-cmd --reload
ポート67 UDPはDHCPサーバーが使用するポートなので、DHCPサーバーを起動する前にポートが本当にブロックされていることを確認したいので、サンドボックスで実験できます。
質問
UDPで1024未満なので、ブロックされていることをどのように確認できますか?
Netcatなどのツールを使用できます(サーバー上でecho test | nc -u <other IP> 67および別のマシン上nc -u -l -p 67、またはWiresharkなどを使用して、メッセージが表示されるかどうかを確認します。
ポート67 UDPはDHCPサーバーが使用するポートなので、dhcpサーバーを起動する前にポートが本当に閉じていることを確認したいので、サンドボックスで実験できます。
テストDHCPサーバーは、VLANに分離するか、既存のDHCP範囲と重複しないスプリットスコープで構成する必要があります。テストと本番環境が同じブロードキャストドメインにある場合は、予期しない動作を引き起こす可能性があります。参照: 1つのネットワーク上に2つのDHCPサーバー
また、dhcpdがこのサンドボックスネットをリッスンするインターフェイスを制限することもできます。リレーエージェントがない場合、他のネット上のDHCPDISCOVERメッセージは表示されません。
NmapのUDPポートスキャンを使用してプロトコルとポートを指定できると思います。構文は次のとおりです。
$ Sudo nmap -sU -p port target