Re: быстродействие iptables

To: debian-russian@lists.debian.org
Subject: Re: быстродействие iptables
From: Igor Goldenberg <igold@igold.pp.ru>
Date: Fri, 15 Dec 2006 16:20:01 +0500
Message-id: <[🔎] 20061215112001.GI5475@igold.factorial.chel>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 20061213221606.7011e419@localhost>
References: <[🔎] 20061210153543.462a0940@localhost> <[🔎] 200612111028.37904.d.hodot@sam-solutions.net> <[🔎] 20061213221606.7011e419@localhost>

On Wed, 13 Dec 2006 22:16:06 +0200, Vladimir N. Shilov wrote:

> C> А почему бы не сделать наоборот? Пропускать только определённые маки.

> а их ещё больше -- на сегодня ~300 штук, и с каждым днём их всё больше.

Всё таки более безопасен вариант, когда по-умолчанию доступ запрещён. А
что их много - не так страшно (если появление новой комбинации IP+MAC
отслеживаемо). Есть такое расширение для iptables - IP sets
(http://ipset.netfilter.org), а в нём есть специальный тип macipmap. Он
позволяет делать практически моментальный поиск в таблице ipset'а, в
iptables достаточно одного правила примерно такого вида:

iptables -A INPUT -m set --set <set_name> src -p tcp --dport 80 -j ACCEPT

Не знаю, как там в etch, но ipset брал из debian'овского pool'а и
пересобирал (как и новый iptables) на sarge. Ядро собирал сам, ipset
наложил из patch-o-matic'а со станицы проекта.

Реально разгрузил свой iptables этим решением, выкинув цепочки с более
чем пятью тысячами записей и заменив каждую одним правилом с '-m set'.

--
С уважением,
Игорь.

Reply to:

References:
- быстродействие iptables
  - From: "Vladimir N. Shilov" <shilov@energi.net.ua>
- Re: быстродействие iptables
  - From: chaos <d.hodot@sam-solutions.net>
- Re: быстродействие iptables
  - From: "Vladimir N. Shilov" <shilov@kuzn.com>

Prev by Date: Re: Intel raid (srcs28x) and debian etch
Next by Date: Re: Software RAID
Previous by thread: Re: быстродействие iptables
Next by thread: Re: быстродействие iptables
Index(es):
- Date
- Thread