One thing that we do is to put a blanket ACL across untrusted networks.<div><br></div><div>Block UDP <a href="http://0.0.0.0/0">0.0.0.0/0</a> port 67 and port 68 from your LANs and from any source that shouldn't be offering DHCP.<div>
<br></div><div>-john</div><div><br></div><div><div class="gmail_quote">On Tue, Jun 5, 2012 at 1:40 PM, Jonathan Lassoff <span dir="ltr"><<a href="mailto:jof@thejof.com" target="_blank">jof@thejof.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Tue, Jun 5, 2012 at 12:44 PM, Ben Kochie <<a href="mailto:ben@nerp.net">ben@nerp.net</a>> wrote:<br>

> We could easily separate some of the services off of the one NAT box.<br>
><br>
> I've thought about setting up a synced virtual router on stallion using<br>
> failoverd and vyatta's NAT state sync.<br>
><br>
> It would also possibly make sense to put the local DHCP/DNS services on a<br>
> separate instance from the NAT handling.  We can easily do this with some<br>
> virtual machines on stallion.  Or we could move some of these services to<br>
> minotaur.<br>
<br>
</div>I think there is some value to keeping all of the network functions on<br>
something that is mounted to the "Wall-O-Tubes". This way, there is a<br>
clear distinction as to what hardware is the bare-minimum necessary to<br>
keep basic services working.<br>
<br>
Perhaps we could:<br>
 - add another soekris or atom board<br>
 - Wire up some 2.4 Ghz APs to the W.O.T. (there is/was a 5 ghz one)<br>
 - Setup all downstream distribution through that Juniper EX, setup<br>
DHCP-based port security protections<br>
</blockquote></div><br></div></div>