[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Iptables



Am Donnerstag, 8. Mai 2003 21:49 schrieb Michael Albrecht:
[...]
> iptabels -A INPUT -s 192.168.81.xxx -j ACCEPT
>
> Default bei Input ist: DENY
>
> Wenn ich jetzte diese Regeln von einem Skript aus starte, dann wird
> der Rechner sehr langam, aber ich find keinen Anhaltspunkt wo das

Hallo Michael,
192.168.xxx.yyy ist doch (der definition nach) ein C-Klasse Netz 
(Netmask 255.255.255.0). Warum machst Du dann nicht so etwas wie

iptabels -A INPUT -s 192.168.81.0/24 -j ACCEPT

Wenn Du bestimmte hosts ausschliessen willst, kannst Du ein

iptabels -A INPUT -s 192.168.81.xxx -j DENY|REJECT

voranstellen. Damit hast Du wahrscheinlich wesentlich weniger Regeln, 
die bei _*jedem*_ IP-Paket ueberprueft werden muessen (ein 
Ethernet-Paket ist i.d.R. 1500 Byte lang und davon gehen dann noch 
diverse Header weg. Somit muessen im unguenstigen Fall ueber 200 
iptables-Regeln je ca. 1 KByte Nutzdaten ueberprueft werden!). V.a. 
ist alles wesentlich uebersichtlicher.

MfG

Tobias

-- 
/"\ ASCII Ribbon Campaign
\ / No proprietary formats in attachments without request
 X  i.e. *NO* WORD, POWERPOINT or EXCEL documents
/ \ Respect Open Standards
    http://www.fsf.org/philosophy/no-word-attachments.html
    http://www.goldmark.org/netrants/no-word/attach.html

Registered Linux User #293344



Reply to: