<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

The problem isn't the destination address, but the source, since we're<br>
trying to catch anyone spoofing the DHCP server, but I may be able to<br>
write an iptables rule to catch this case and change the source IP to be<br>
correct.<br>
</blockquote>
<br></div>
Understood, in my experience firewalls which don't unconditionally accept packets with destination 255.255.255.255 can often cause DHCP problems. The same is true for packets with source address 0.0.0.0<br></blockquote>
<div><br></div><div>Filtering DHCPOFFER packets based on source address is a very good thing if you don't have total control over every connected device (users are prone to plug "residential broadband gateway" devices in backwards, with your network hooked to a LAN port instead of WAN, and start serving up addresses).  But you do need rules for all addresses of the authorized DHCP server, just in case.  Filtering based on the source interface is another viable option.</div>
</div>