Hello,<br><br>ok lets finish. It cannot be done.<br><br>I understand that it is possible to find out the real mac address with iptables (that one in the dhcp header) but I dont know what client will be mad in future. So there is no intelligence that makes ip table reduce any dhcp packet flood from an unknown client. And fix the offending client is also no option because I dont know what client it will be. The one who made the trouble is already out of the game.<br>
<br>The only solution would be that the dhcp server itsself would have some intelligence that it knows that it is an unnormal behavior for  a client to ask thousand times per second for an ip address. Maybe ISC will implement such a thing in future.<br>
<br>thanx a lot and have nice day,<br>cheers,<br>Juergen<br><br><br><div class="gmail_quote">2011/2/9 José Queiroz <span dir="ltr"><<a href="mailto:zekkerj@gmail.com">zekkerj@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br><br><div class="gmail_quote">2011/2/8 Alex Bligh <span dir="ltr"><<a href="mailto:alex@alex.org.uk" target="_blank">alex@alex.org.uk</a>></span><div class="im"><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

<div><br>
<br>
--On 8 February 2011 08:17:51 +0000 Simon Hobson <<a href="mailto:dhcp1@thehobsons.co.uk" target="_blank">dhcp1@thehobsons.co.uk</a>> wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
My understanding is that the recent module for iptables can do this. But<br>
I'm not sure if it can track arbitrary parts of the packet,<br>
</blockquote>
<br></div>
My understanding is it can (*), and there have been various examples<br>
(including yours) of how to do this. I'm not quite sure why people<br>
are claiming iptables is only capable of examining ip and "tcp/udp"<br>
headers, particularly when others have provided working examples.<br>
<br></blockquote></div><div><br>From the documentation, it seems that it cannot --- "recent" only tracks source and destination address of marked packets. The trick is only track the right packets...<br> <br></div>
<div class="im"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

I'd repeat that in terms of maintainability, it might be easier to<br>
patch dhcpd, but for a small number of hosts, it appears eminently<br>
feasible.<br>
<br></blockquote></div><div><br>Or fix the offending client...<br> </div></div>
<br>_______________________________________________<br>
dhcp-users mailing list<br>
<a href="mailto:dhcp-users@lists.isc.org">dhcp-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/dhcp-users" target="_blank">https://lists.isc.org/mailman/listinfo/dhcp-users</a><br></blockquote></div><br>