> Ca observatie, personal as fi pus regulile respective in tabela mangle, > deoarece este prima parcursa de catre pachete pe parcursul plimbarii lor > prin kernel. (E mai efi cient sa filtrezi cit mai devreme, ca sa > micsorezi numarul de pachete prelucrate inutil). In practica apar si > alte considerente, de pilda in tabela mangle se pot face diverse marcari > de pachete (de pilda pentru garantari de banda) si poate fi de dorit sa > nu se amestece regulile prea tare, in care caz filtrele se pot pune in > -t filter. Un "iptables -L -t mangle" va arata regulile de marcare, pe > cind "iptables -L" va arata regulile de filtrare. Dar repet, depinde > mult de cine face managementul regulilor si de cum sint acestea scrise > si corelate intre ele.
Da, si asta e o solutie. Acum revenind la ce ai spus tu, daca exista acolo reguli pentru marcarea pachetelor, si mai punem si noi tona noastra de reguli pentru filtrare, cand executam: iptables -L -t mangle, o sa fie ceva ingrozitor.. Propunerea mea este crearea unui nou canal (chain), exemplu: ipmac (iptables -N ipmac) si bagat in acest canal acesele corespunzatoare.. si in tabela magle, la intrarea unui pachet ii dam cu iptables -t mangle ... -j ipmac. Astfel chiar la sosirea unui pachet, il trimitem spre `validare`. Este cam acelasi lucru cum a spus wolfy, insa putin mai organizat. --- Detalii despre listele noastre de mail: http://www.lug.ro/
