cs-joke.pl forum

cs-joke.pl forum > Komputery > Internet > iptables
Full Version: iptables
You're currently viewing a stripped down version of our content. View the full version with proper formatting.

shlomitan

03 Mar 2018, 06:45 PM
Czy są tam wszyscy guru iptable?   Moje pytania dotyczą skuteczności i wydajności dwóch możliwych zestawów zasad. Przypadek 1 jest znacznie bardziej otwarty i pozwala na wychodzenie całego ruchu z sieci LAN. Przypadek 2 ma być taki sam jak przypadek 1. Czy to prawda?   Co jest lepsze? Jakiekolwiek słabości w przypadku 2 lub niezamierzone filtrowanie?   Tło, to pudełko linuksa działające jako bramka internetowa. Dozwolone jest przekazywanie między lan1 i lan2. Stosuje się SNAT i mangle jest używane razem z fwmark z rt_tables dla równoważenia obciążenia WAN. - eth0 jest podłączony do WAN1 - eth1 jest podłączony do WAN2 - eth2 jest podłączony do lokalnego lan1 - eth3 jest podłączony do lokalnego lan2   Przypadek 1 Reguły iptables (tylko wklejanie związanych z nim wiadomości) " *filtr : PRZYWRÓĆ AKCEPTUJĘ [0: 0] # Przekazywanie wszystkich na LAN1 -A FORWARD -i eth2 -j AKCEPTUJ -A FORWARD -o eth2 -j AKCEPTUJ # Przekazywanie wszystkich na LAN2 -A FORWARD -i eth3 -j AKCEPTUJ -A FORWARD -o eth3 -j AKCEPTUJ # Upuść wszystko w łańcuchu przekazywania -A DO PRZODU -j SPADEK "   Przypadek 2 Reguły iptables (tylko wklejanie związanych z nim wiadomości) " *filtr : PRZYWRÓĆ AKCEPTUJĘ [0: 0] # Usuń nieprawidłowe połączenia -A FORWARD -m conntrack - znak INVALID -j DROP # Powiązane i ustanowione połączenia -A FORWARD -m conntrack --ctstate POWIĄZANY, USTANOWANY -j AKCEPTUJĘ # Przekaż nowe połączenia z sieci LAN -A FORWARD -i eth2 -m conntrack --ctstate NOWOŚĆ -j AKCEPTUJĘ -A FORWARD -i eth3 -m conntrack --ctstate NOWY -j AKCEPTACJA # Upuść wszystko w łańcuchu przekazywania -A DO PRZODU -j SPADEK "

rfierrom

03 Mar 2018, 06:46 PM
Funkcjonalnie te dwa stwierdzenia zrobią to, czego oczekujesz. Technicznie nie jest to zupełnie to samo. Z chwilą uwzględnienia stanów w instrukcjach iptables, będzie wyższy narzut w porównaniu do tego, że jest bezpaństwowcem. To powiedziawszy, chyba że przesyłasz ogromne ilości pps przez te interfejsy, nie będzie to bardzo zauważalne. Zapewnia jednak także pewną elastyczność zwiększonej funkcjonalności

julieanne

03 Mar 2018, 06:47 PM
Używam tylko bezpaństwowców, gdy nie ma wyboru, tj. W vps Openvz, gdzie nie mam kontroli nad jądrem hosta. Preferuj zaporę firewall. Mam lepszy poziom kontroli. Mówiąc tak, dlaczego robisz ten poziom kontroli iptables? Rozważ skorzystanie z programu typu "shorewall" (który obsługuje multi homeing) lub zapory ogniowej iptables firmy arno. Ktoś inny wykonał dla ciebie ciężką pracę.

telkaif

03 Mar 2018, 06:49 PM
dlaczego to robię? err ... dla zabawy, chyba ... Spojrzałem na niektóre skrypty iptables dostępne ... a niektóre z nich są proste i zawierają mnóstwo złych praktyk ... więc kończę robienie tego sam .. konfiguracja multi homed jest całkiem czysta i prosta, jeśli znasz już mangle w iptables. Wydaje mi się, że wiele konfiguracji i skryptów znajduje się w zaporze sieciowej
cs-joke.pl forum > Komputery > Internet > iptables