Christoph Haas schrieb: > (in einem GUI) von knapp 500 Regeln. Das ganze ist noch nach Gruppen > zusammengefasst, damit nicht jede IP auch eine Regel wird. Wenn du > das in iptables von Hand machen willst, werden das diverse tausend > iptables-Regeln werden. Du bist als Praktikant gerne eingeladen, das
Eine so grosse Zahl Regeln hört sich irgendwie "falsch" an. Es gibt zwei Methoden um die Zahl der Regeln übersichtlich (und auch performant) zu halten. Zum einen die richtige Verwendung von Userchains, ähnlich der Programmierung von Unterroutinen. Ein "Ausmisten" der Regelsätze nach "Überdefinitionen" (z.B. Festlegung der exakten i/o-Schnittstelle in der Hauptregel und der Userchain) offenbart meistens weiteres Vereinfachungs- und Reduktionspotential. Ein weitere zentrale Methode ist das Umbenennen der Schnitstellen. Ich benenne die Schnittstellen z.B .ext1, int0, dmz_web1, vpn_20_port1. usw. Dann kann man Regelsätze mit Wildcards verwenden, die alle exteren, internen, DMZ- oder VPN-Schnittstellen betreffen. Das erhöht auch die Bedienungssicherheit. Wer merkt sich schon, was genau an eth3 hängt? -- [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)