Dodatečně jsem zjistil, že v rámci blokace DHCP napříč VPN je nutné přidat směry INPUT a OUTPUT do ebtables také. Pokud není blokován INPUT, přichází na místní DHCP server broadcasty ze zařízení na druhé straně VPN a místní server se je snaží obsloužit (ale většinou je příliš pomalý). A pokud není blokován OUTPUT, dochází na vzdálenou síť broadcasty odpovědí místního DHCP serveru.
Na uvedené jsem došel sledováním tcpdump při řešení problému s DHCP popsaném zde:
Chvíli jsem si myslel, že popsaným zdokonalením blokace problém vyřeším, ale následně se projevil znovu. A jak jsem psal, že zahazování INPUT a OUTPUT směrů “z nějakého důvodu pokazilo i lokální fungování DHCP”, to bylo nejspíš právě projevem odkazovaného problému, který, mám pocit, začal už před mými experimenty s VPN.
Pro úplnost, použitá pravidla ebtables nyní vypadají takto:
ebtables -A INPUT --in-interface tap_turris --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --in-interface tap_turris --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap_turris --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A OUTPUT --out-interface tap_turris --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP