Pascal Hambourg a écrit, jeudi 24 mai 2007, à 18:01 : > Jacques L'helgoualc'h a écrit : > > PH>[le club des cinq PPP] > >Ce n'est pas ce que j'entends par « cas simples » :) > > J'avais trop envie d'exposer un cas pratique "pas simple" illustrant > l'intérêt des règles iptables dynamiques. :-)
Il y aurait sans doute plus de lecteurs pour un cas simple et utile :) Exemple tout bête, en initialisant une connexion RTC/PPP, je purge seulement les chaînes ppp_(in|out)... De même, ma chaîne « natted_in » concentre la gestion des adresses IP dynamiques autorisées pour les ports cachés. > > [...] (essayer d')optimiser la logique du tri des paquets > > Oui, pourquoi pas. Je n'y avais pas pensé. Mais je me demande si le gain > est sensible pour une poignée d'interfaces PPP. Oh, le gain en performance ne doit pas être époustouflant, mais c'est surtout pour essayer de clarifier : pour un pré-tri, iptables -A INPUT -i ppp+ -j tri_ppp iptables -A INPUT -i eth+ -j tri_eth ... raccourcit la chaîne principale. > >et/ou mettre en commun certaines règles. > > Eventuellement, mais ces règles communes ne seraient probablement pas > spécifiques aux seules interfaces PPP. Pour ma part j'ai choisi l'option > "dure" : le premier tri est fait en fonction de l'interface. Du coup si > une interface n'est pas explicitement prise en compte dans les règles, > aucun trafic IP ne peut passer par elle. Les paquets sont ensuite triés > par état de suivi de connexion, J'accepte ESTABLISHED avant, c'est tout de même le gros du trafic. -- Jacques L'helgoualc'h -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]