Forum Debian Users Gang

yacol · 2008-05-07 19:57:25

Mam dość rozbudowany iptables ze względu na to, że praktycznie dla każdego komputera indywidualnie ustalamy puszczone porty, część ma tylko 80 i 443, część dodatkowo 25 i 100. Dodatkowo w iptables mamy filtrowanie po parze mac+ip. Ostatecznie mamy ok 400 par ip+mac i dla każdej takiej pary, w zależności od ilości puszczonych portów od 2 do 6 wpisów. W sumie daje to nam ok 2000 linijek w iptables. Czy taka ilość wpisów może powodować jakieś problemy na serwerze? Wzrost obciążenia, opóźnienia w przesyłaniu pakietów itp?
Jak radzicie sobie z puszczeniem dostępu do netu tylko określonych mac+ip w przypadku dużych sieci?

kayo · 2008-05-07 23:29:55

jesli jest w ten sposob ze czesc ma 80 i 443 (nazwijmy ja A), czesc dodatkowo 110 (chyba ten powinien byc a nie 100) i 25 (B)a czesc wcale (C)to ja bym uzywal maski do okreslania hostow w iptables
np siec A 192.168.1.0/26
siec B 192.168.1.64/26 itd
wowczas nie masz per host wpisow w iptables tylko na wieksza ilosc. A do powiazania mac z ip to uzylbym dhcp

kuchar · 2008-05-08 23:57:50

jeżeli filtrujesz coś w manglu, to to moze bardzo obciazyc, ew jezeli masz spory ruch to filtrowanie wszystkiego po macach moze tez niezle obciazyc

zlyZwierz · 2008-05-09 00:23:54

Do sprawdzania ip+mac można użyć IPSET.
Dla łańcuchów dla konkretnego IP można użyć drzewiastej struktury zamiast płaskiej..

Forum Debian Users Gang

Ogłoszenie

#1 2008-05-07 19:57:25

yacol - Użytkownik

rozbudowany iptables

#2 2008-05-07 23:29:55

kayo - Członek DUG

Re: rozbudowany iptables

#3 2008-05-08 23:57:50

kuchar - Użytkownik

Re: rozbudowany iptables

#4 2008-05-09 00:23:54

zlyZwierz - Moderator

Re: rozbudowany iptables

Stopka forum