rozsah IP v ipchains
Peter Surda
shurdeek na panorama.sth.ac.at
Čtvrtek Listopad 21 14:46:04 CET 2002
On Thu, Nov 21, 2002 at 02:21:55AM +0100, Pavel Kankovsky wrote:
> > Pak mate smulu, IMHO ani iptables, ani ipchains neumi jine rozsahy nez
> > masky site, coz je spravne a logicke...
> a pritom vyhodnoceni adresy proti intervalu je prakticky stejne narocne jako
> vyhodnoceni proti netmasce.
Neni, masku totiz mozes porovnavat priamo na bitovej urovni (bitovy AND a OR)
== jeden tik procesora, s intervalom to tak nemusi byt. Ale to neni az take
dolezite.
Tento pripad sa da momentalne vyriesit takto:
iptables -A cejn -d 192.168.1.0/28 -j level2
iptables -A level2 -d 192.168.1.0/31 -j RETURN
iptables -A level2 -d 192.168.1.11 -j RETURN
iptables -A level2 -d 192.168.1.12/30 -j RETURN
iptables -A level2 -j DROP
Ale niektore moduly iptables vedia rozsah na IP adresy, napriklad
DNAT/SNAT/SAME a pokial sa dobre pamatam, malo by sa to v blizkej buducnosti
dat aj vseobecne.
Okrem toho IMHO taketo pouzitie indikuje suboptimalnu strukturu siete :-)
> --Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
> "Resistance is futile. Open your source code and prepare for assimilation."
Bye,
Peter Surda (Shurdeek) <shurdeek na panorama.sth.ac.at>, ICQ 10236103, +436505122023
--
There are two kind of sysadmins: Paranoids and Losers
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 232 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20021121/84ef6af1/attachment.sig>
Další informace o konferenci Linux