Динамические IP-адреса обычно применяются при dial-up-до­ступе, а также в больших корпоративных сетях с большим количес­твом машин, где индивидуальная настройка компьютеров отнимает очень много времени.

     Для автоматического конфигурирования узла в Ethernet-сетях использу­ется протокол DHCP. Кроме назначения IP-адреса, этот протокол дает возможность установить различные сетевые параметры узла, в частности IP-адрес шлюза, IP-адреса серверов имен и т.д.

     Использование динамических адресов создает лишние проблемы при конфигурировании брандмауэра. Следовательно, нужно синхронизировать правила IPTables с DHCP-сервером.

     DHCPCD.

     Обычно в Linux-системах по умолчанию используется DHCP-клиент dhcpcd. Если интерфейс настроен на автоматическое DHCP-конфигурирование, то демон dhcpcd запускается в фоновом режиме и пытается установить соединение с DHCP-сервером. После того, как DHCP-сервер удачно опрошен, информация записывается в файл.

     Месторасположение этого файла зависит от дистрибутива Linux. В SuSE и предыдущих версиях Red Hat данный файл может быть найден в каталоге /var/lib/dhcp, в некоторых других версиях - в ката­логе /etc/dhcp. Имя файла зависит от настраиваемого интерфейса, на­пример dhcpd-eth0.info. Пример файла:

     Используя сценарий, можно модифицировать сценарий firewall.sh, чтобы прочитать значения, записанные в этом файле (кавычки - это не одинарные кавычки, а те, которые нахо­дятся «под тильдой»!):

     Похоже делается с DNS-серверами (здесь немного сложнее, поскольку они перечислены через запятую):

     Если присвоен только один IP-адрес сервера DNS, переменная IP_DNS2 будет содержать такое же значение, как и IP_DNS1.Осталось только вызвать брандмауэр, пока эти переменные доступны.

     Во многих системах сценарий /etc/dhcp/dhcp.ехе вызывается всякий раз, когда dhcpcd «поднимает» интерфейс (название этого сценария может быть изменено с помощью опции -с демона dhcpcdd). В других вызывается дру­гой сценарий - /etc/sysconfig/network/scripts/dhcpd-hook. Все, что нужно, - это добавить вызов нужного сценария в файл, вызыва­ющий брандмауэр, например:

     Если время аренды IP-адреса вышло и он изменился, сценарий будет за­пущен опять. Нужно сбросить все правила брандмауэра при старте сценария, тогда точно не будет никаких проблем.

     Блокирование и разблокирование узлов.

     Немного раньше было рассказано, как можно с помощью IPTables можно блокировать не­желательные узлы, используя такой код сценария:

     Все работает очень просто: нужно создать внешний файл, содержащий IP-адреса нежелательных узлов, а этот код соответствующим образом уста­навливает правила IPTables. Если модифицировать файл после применения правил, узлы блокиро­ваться не будут. Нужно перезапустить брандмауэр для того, чтобы из­менения вступили в силу.

     Здесь представлены два небольших сценария, которые будут использоваться для добавления/удаления IP-адреса из списка блокировки и автоматичес­кого перезапуска брандмауэра. Сценарий для добавления узла в список блокировки и перезапуска брандмауэра:

     Сохраняем этот файл в каталоге /usr/local/bin под именем blockip. Нужно изменить права доступа к файлу:

     Теперь можно использовать сценарии:

     Узел добавлен, перезапускаем firewall:

     Второе сообщение выводится из файла rc.firewall, если есть желание пере­вести его на русский язык, просто отредактируйте этот файл.

     Файл для разблокировки узла, то есть для удаления IP-адреса узла из списка блокировки: