1. cs-joke.pl forum
  2. Komputery
  3. Internet

Thread Modes
iptables
shlomitan
Member
***
Posts: 223
Threads: 42

Reputation: 0
#1

Czy są tam wszyscy guru iptable?   Moje pytania dotyczą skuteczności i wydajności dwóch możliwych zestawów zasad. Przypadek 1 jest znacznie bardziej otwarty i pozwala na wychodzenie całego ruchu z sieci LAN. Przypadek 2 ma być taki sam jak przypadek 1. Czy to prawda?   Co jest lepsze? Jakiekolwiek słabości w przypadku 2 lub niezamierzone filtrowanie?   Tło, to pudełko linuksa działające jako bramka internetowa. Dozwolone jest przekazywanie między lan1 i lan2. Stosuje się SNAT i mangle jest używane razem z fwmark z rt_tables dla równoważenia obciążenia WAN. - eth0 jest podłączony do WAN1 - eth1 jest podłączony do WAN2 - eth2 jest podłączony do lokalnego lan1 - eth3 jest podłączony do lokalnego lan2   Przypadek 1 Reguły iptables (tylko wklejanie związanych z nim wiadomości) " *filtr : PRZYWRÓĆ AKCEPTUJĘ [0: 0] # Przekazywanie wszystkich na LAN1 -A FORWARD -i eth2 -j AKCEPTUJ -A FORWARD -o eth2 -j AKCEPTUJ # Przekazywanie wszystkich na LAN2 -A FORWARD -i eth3 -j AKCEPTUJ -A FORWARD -o eth3 -j AKCEPTUJ # Upuść wszystko w łańcuchu przekazywania -A DO PRZODU -j SPADEK "   Przypadek 2 Reguły iptables (tylko wklejanie związanych z nim wiadomości) " *filtr : PRZYWRÓĆ AKCEPTUJĘ [0: 0] # Usuń nieprawidłowe połączenia -A FORWARD -m conntrack - znak INVALID -j DROP # Powiązane i ustanowione połączenia -A FORWARD -m conntrack --ctstate POWIĄZANY, USTANOWANY -j AKCEPTUJĘ # Przekaż nowe połączenia z sieci LAN -A FORWARD -i eth2 -m conntrack --ctstate NOWOŚĆ -j AKCEPTUJĘ -A FORWARD -i eth3 -m conntrack --ctstate NOWY -j AKCEPTACJA # Upuść wszystko w łańcuchu przekazywania -A DO PRZODU -j SPADEK "
Reply
rfierrom
Member
***
Posts: 208
Threads: 24

Reputation: 0
#2

Funkcjonalnie te dwa stwierdzenia zrobią to, czego oczekujesz. Technicznie nie jest to zupełnie to samo. Z chwilą uwzględnienia stanów w instrukcjach iptables, będzie wyższy narzut w porównaniu do tego, że jest bezpaństwowcem. To powiedziawszy, chyba że przesyłasz ogromne ilości pps przez te interfejsy, nie będzie to bardzo zauważalne. Zapewnia jednak także pewną elastyczność zwiększonej funkcjonalności
Reply
julieanne
Member
***
Posts: 224
Threads: 38

Reputation: 0
#3

Używam tylko bezpaństwowców, gdy nie ma wyboru, tj. W vps Openvz, gdzie nie mam kontroli nad jądrem hosta. Preferuj zaporę firewall. Mam lepszy poziom kontroli. Mówiąc tak, dlaczego robisz ten poziom kontroli iptables? Rozważ skorzystanie z programu typu "shorewall" (który obsługuje multi homeing) lub zapory ogniowej iptables firmy arno. Ktoś inny wykonał dla ciebie ciężką pracę.
Reply
telkaif
Member
***
Posts: 197
Threads: 32

Reputation: 0
#4

dlaczego to robię? err ... dla zabawy, chyba ... Spojrzałem na niektóre skrypty iptables dostępne ... a niektóre z nich są proste i zawierają mnóstwo złych praktyk ... więc kończę robienie tego sam .. konfiguracja multi homed jest całkiem czysta i prosta, jeśli znasz już mangle w iptables. Wydaje mi się, że wiele konfiguracji i skryptów znajduje się w zaporze sieciowej
Reply
« Next Oldest | Next Newest »


Forum Jump:

Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5


Users browsing this thread: 1 Guest(s)