Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1658 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

constant traffic from DHCPGIADDR

willst
Hi folks, here's a question for you.  I was watching my "live log" and noticed a ton of traffic coming from an IP address on port 67 to destination IP 255.255.255.255 on port 68.  These are DHCP ports, and it turns out that the source address is somehow related to my ISP's DHCP server.  eth0.info from dhcpcd lists that particular IP as DHCPGIADDR.  I have no idea what that value means but am guessing maybe it has to do with a gateway or something on the ISP side?

Anyway, my question is building up from this.  There is probably one hit every second, which fills the live log.  More importantly, it floods my syslog.  Has anyone else seen this traffic behavior?  From the nature of the destination and protocol, it's probably just the ISP's server broadcasting "hey I'm available to give you an address!"  But, if it's that benign, I really don't want to be logging an event for it literally every second.  Any suggestions?

Thanks


This thread was automatically locked due to age.
  • 0
    Create a network definition for that address and call it something (I call mine Global Broadcast, iirc).

    Create a packetfilter rule to drop dhcp (or anything) to it without logging.

    Barry
  • 0 in reply to BarryG
    Here's what I have tried:

    - Created new service called DHCP, source port 1:65536, dest port 67:68
    - Created new packet filter rule, source is any, dest is any, service is DHCP, action is DROP and do not log

    I thought this would do the trick (my internal DHCP server is another box, not ASL), but alas no.  So, I got more specific:

    - New packet filter rule, source is the troublesome DHCP host, dest is any, service is any, action is DROP and do not log.

    Still no luck!  My logs are still capturing this traffic.  Am I missing something?

    Also, if I drop any DHCP requests from any source, I suspect that will prevent my external interface from picking up an IP from the ISP.  The DHCPGIADDR host listed is not the same as DHCPSID, which I think is the actual DHCP server that sends an address, so I probably can disable the draconian DROP ALL DHCP rule.
  • 0 in reply to willst
    ANY does not include several addresses including:
    ASL's NIC IPs (ext, int, ...)
    Broadcast addresses
    Network addresses

    I.E., you need to create a definition for the broadcast address and drop traffic to it.

    Barry
  • 0 in reply to BarryG
    I was doing some more digging in the forums and found a similar post from you in which you identified what ANY includes and doesn't include.  Do you know if that's officially documented somewhere?  Thanks for the tip - I will give it a try and see if it works!
  • 0 in reply to willst
    Barry, that worked perfectly.  Thanks!