On Wed, 13 Dec 2006 22:16:06 +0200, Vladimir N. Shilov wrote: > C> А почему бы не сделать наоборот? Пропускать только определённые маки.
> а их ещё больше -- на сегодня ~300 штук, и с каждым днём их всё больше. Всё таки более безопасен вариант, когда по-умолчанию доступ запрещён. А что их много - не так страшно (если появление новой комбинации IP+MAC отслеживаемо). Есть такое расширение для iptables - IP sets (http://ipset.netfilter.org), а в нём есть специальный тип macipmap. Он позволяет делать практически моментальный поиск в таблице ipset'а, в iptables достаточно одного правила примерно такого вида: iptables -A INPUT -m set --set <set_name> src -p tcp --dport 80 -j ACCEPT Не знаю, как там в etch, но ipset брал из debian'овского pool'а и пересобирал (как и новый iptables) на sarge. Ядро собирал сам, ipset наложил из patch-o-matic'а со станицы проекта. Реально разгрузил свой iptables этим решением, выкинув цепочки с более чем пятью тысячами записей и заменив каждую одним правилом с '-m set'. -- С уважением, Игорь. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
