Re: iptables : charger un fichier
Pascal Hambourg a écrit, jeudi 24 mai 2007, à 18:01 :
> Jacques L'helgoualc'h a écrit :
> > PH>[le club des cinq PPP]
> >Ce n'est pas ce que j'entends par « cas simples » :)
>
> J'avais trop envie d'exposer un cas pratique "pas simple" illustrant
> l'intérêt des règles iptables dynamiques. :-)
Il y aurait sans doute plus de lecteurs pour un cas simple et utile :)
Exemple tout bête, en initialisant une connexion RTC/PPP, je purge
seulement les chaînes ppp_(in|out)...
De même, ma chaîne « natted_in » concentre la gestion des adresses IP
dynamiques autorisées pour les ports cachés.
> > [...] (essayer d')optimiser la logique du tri des paquets
>
> Oui, pourquoi pas. Je n'y avais pas pensé. Mais je me demande si le gain
> est sensible pour une poignée d'interfaces PPP.
Oh, le gain en performance ne doit pas être époustouflant, mais c'est
surtout pour essayer de clarifier : pour un pré-tri,
iptables -A INPUT -i ppp+ -j tri_ppp
iptables -A INPUT -i eth+ -j tri_eth
...
raccourcit la chaîne principale.
> >et/ou mettre en commun certaines règles.
>
> Eventuellement, mais ces règles communes ne seraient probablement pas
> spécifiques aux seules interfaces PPP. Pour ma part j'ai choisi l'option
> "dure" : le premier tri est fait en fonction de l'interface. Du coup si
> une interface n'est pas explicitement prise en compte dans les règles,
> aucun trafic IP ne peut passer par elle. Les paquets sont ensuite triés
> par état de suivi de connexion,
J'accepte ESTABLISHED avant, c'est tout de même le gros du trafic.
--
Jacques L'helgoualc'h
Reply to: