Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2008-05-07 19:57:25
yacol - 
Użytkownik
- yacol
- Użytkownik
- Skąd: Poznań
- Zarejestrowany: 2005-12-05
rozbudowany iptables
Mam dość rozbudowany iptables ze względu na to, że praktycznie dla każdego komputera indywidualnie ustalamy puszczone porty, część ma tylko 80 i 443, część dodatkowo 25 i 100. Dodatkowo w iptables mamy filtrowanie po parze mac+ip. Ostatecznie mamy ok 400 par ip+mac i dla każdej takiej pary, w zależności od ilości puszczonych portów od 2 do 6 wpisów. W sumie daje to nam ok 2000 linijek w iptables. Czy taka ilość wpisów może powodować jakieś problemy na serwerze? Wzrost obciążenia, opóźnienia w przesyłaniu pakietów itp?
Jak radzicie sobie z puszczeniem dostępu do netu tylko określonych mac+ip w przypadku dużych sieci?
No Risk, No Fun...
Offline
#2 2008-05-07 23:29:55
kayo - Członek DUG
- kayo
- Członek DUG
- Zarejestrowany: 2007-05-20
Re: rozbudowany iptables
jesli jest w ten sposob ze czesc ma 80 i 443 (nazwijmy ja A), czesc dodatkowo 110 (chyba ten powinien byc a nie 100) i 25 (B)a czesc wcale (C)to ja bym uzywal maski do okreslania hostow w iptables
np siec A 192.168.1.0/26
siec B 192.168.1.64/26 itd
wowczas nie masz per host wpisow w iptables tylko na wieksza ilosc. A do powiazania mac z ip to uzylbym dhcp
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
#3 2008-05-08 23:57:50
kuchar - Użytkownik
Re: rozbudowany iptables
jeżeli filtrujesz coś w manglu, to to moze bardzo obciazyc, ew jezeli masz spory ruch to filtrowanie wszystkiego po macach moze tez niezle obciazyc
Linux Registered User # 406343
Routing protocols enable routers to route routed protocols :)
Offline