Linux下配置完整安全的DHCP服务器详解

# netstat -nutap | grep dhcpd

udp 0 0 0.0.0.0:67 2402/dhcpd

3．设置DHCP转发代理

DHCP的转发代理（dhcrelay）允许把无DHCP服务器子网内的DHCP和BOOTP请求转发给其他子网内的一台或多台DHCP服务器。当某个DHCP客户端请求信息时，DHCP转发代理把该请求转发给DHCP转发代理启动时所指定的一台DHCP服务器。当某台DHCP服务器返回一个回应时，该回应被广播或单播给发送最初请求的网络。除非使用INTERFACES指令在/etc/sysconfig/dhcrelay文件中指定了接口，否则DHCP转发代理监听所有接口上的DHCP请求。要启动DHCP转发代理，使用命令：

service dhcrelay start

4．从指定端口启动DHCP服务器

如果系统连接不止一个网络接口，但是只想让DHCP服务器启动其中之一，则可以配置DHCP服务器只在相应设备上启动。在/etc/sysconfig/dhcpd中，把接口的名称添加到DHCPDARGS的列表中：

# Command line options here

DHCPDARGS=eth0

如果有一个带有两块网卡的防火墙机器，这种方法就会大派用场。一块网卡可以被配置成DHCP客户端从互联网上检索IP地址；另一块网卡可以被用做防火墙之后的内部网络的DHCP服务器。仅指定连接到内部网络的网卡使系统更加安全，因为用户无法通过互联网来连接其守护进程。

其他可在/etc/sysconfig/dhcpd中指定的命令行选项如下。

（1）-p：指定dhcpd应该监听的UDP端口号码，默认值为67。DHCP服务器在比指定的UDP端口大一位的端口号上把回应传输给DHCP客户端。例如，如果使用默认端口67，服务器就会在端口67上监听请求，然后在端口68上回应客户。如果在此处指定了一个端口号，并且使用了DHCP转发代理，所指定的DHCP转发代理所监听的端口必须是同一端口。

（2）-f：把守护进程作为前台进程运行，在调试时最常用。

（3）-d：把DCHP服务器守护进程记录到标准错误描述器中，在调试时最常用。如果未指定，日志将被写入/var/log/messages中。

（4）-cf：指定配置文件的位置，默认为/etc/。

（5）-lf：指定租期数据库文件的位置。如果租期数据库文件已存在，在DHCP服务器每次启动时使用同一个文件至关重要。建议只在无关紧要的机器上为调试目的才使用该选项，默认为/var/lib/dhcp/。

（6）-q：在启动该守护进程时，不要显示整篇版权信息。

5．管理DHCP服务器端口

常见的DHCP服务器是dhcpd，可以通过命令行设定其监听端口。例如，使用以下命令：

#dhcpd eth0

该命令允许dhcpd进程只在eth0网络端口上工作，默认为监听所有端口。由于DHCP同样使用67和68端口通信，所以更改该端口将造成DHCP服务无法正

常使用。

设置DHCP客户端

1．在Linux下配置DHCP客户端

配置DHCP客户端的第1步是确定内核能够识别网卡，多数网卡会在安装过程中被识别，系统会为该网卡配置恰当的内核模块。如果在安装后添加了一块网卡，Kudzu应该会识别它，并提示为其配置相应的内核模块。通常网管员选择手工配置DHCP客户端，需要修改/etc/sysconfig/network文件来启用联网；修改/etc/sysconfig/network-scripts目录中每个网络设备的配置文件，在该目录中的每种设备都有一个叫做“ifcfg-eth？”的配置文件。eth？是网络设备的名称，如eth0等。如果想在引导时启动联网，NETWORKING变量必须被设为yes。除此之外，/etc/sysconfig/network文件应该包含以下行：

NETWORKING=yes

DEVICE=eth0

BOOTPROTO=dhcp

ONBOOT=yes

每种需要配置使用DHCP的设备都需要一个配置文件。其他网络脚本包括的选项如下。

（1）DHCP_HOSTNAME：只有当DHCP服务器在接收IP地址前需要客户端指定主机名时才使用该选项。

（2）PEERDNS=：取值为如下之一。

yes：使用来自服务器的信息来修改/etc/。若使用DHCP，那么yes是默

认值。

（3）SRCADDR=