Mniej wiecej Mon, Apr 18, 2005 at 10:53:21AM +0200, zainteresowany Jacek Konieczny rzekl: > Blokowanie na firewallu jest, szczególnie w dużych sieciach, jeszcze > gorsze, bo reguły iptables są przeglądane liniowo, co jest strasznie > nieskalowalne. Już sieć 100 komputerów wymaga sprawdzenia ponad 100 > regułek dla każdego pakietu.
iptables -A blebleble -i eth7 -j MACS iptables -A MACS bleble -s 192.168.0.0/26 -j MAC1 iptables -A MACS bleble -s 192.168.0.64/26 -j MAC2 iptables -A MACS bleble -s 192.168.0.128/26 -j MAC3 iptables -A MACS bleble -s 192.168.0.192/26 -j MAC4 iptables -A MAC1 -m mac itd... Wartość pesymistyczna 1 + 4 + 64 = 67, wartość średnia 1 + 2 + 32 = 33 dla podsieci /24. To wersja brute force, dla bardziej wyrafinowanych, proponuję układanie hostów w kolejności średniego ruchu przez nie generowanego :-) [OT: może wie ktoś ile czasu/mocy zajmują różne testy w iptables? A czy ich kolejność ma znaczenie?] Zbyniu -- \78\32\14\46\67\67\90\1A %% Timeo me dubitare %% _______________________________________________ pld-users-pl mailing list pld-users-pl@pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
