slozitost filtrovacich pravidel (Re: HTB a 2Mb linka)

[Matus UHLAR - fantomas]

Pavel Kankovsky <peak na argo.troja.mff.cuni.cz> wrote:
> Mimochodem, zkousel nekdo nejake reseni zefektivnujici slozite sady
> pravidel? Zatim jsem nasel ippool/ipset (v patch-o-maticu netfilteru),
> ktery umoznuje udrzovat mnoziny IP adres pouzit pritomnost adresy
> v mnozine jako podminku pro pravidlo, coz se hodi, pokud potrebuju nejake
> konkretni pravidlo aplikovat na ruzne adresy. A take to umi tu mnozinu
> pruzne za chodu menit. Ale z toho provedeni mam trochu rozporuplne pocity.
> 
> Krome toho by se obcas hodilo neco jineho, totiz podle adresy (prip.
> jineho udaje, napr. portu) se rychle rozvetvit na ruzne chainy. Da
> se to nasimulovat nejakym vicemene binarnim stromem, ale furt je to
> log_2 n kroku v kazde vetvi (ackoli nejakou hasovaci tabulkou by slo
> dosahnout O(1)) a navic se tam musi vyrobit n/2 pomocnych "vyhybkovych
> pravidel". Sice to jde udelat automaticky, ale stejne je v tom pak
> zbytecny bordel.

ja pouzivam takyto mechanizmus, je to lepsie ako mat pravidla zotriedene
za sebou. skratka niektore TCP porty pustim do chainu pre IRC, ine do
chainu pre time services atd. v jednotlivych chainoch mam len zoznam ip
adries a ACCEPT/RETURN...

RETURN tam mam kvoli jednoduchsiemu nastaveniu co robit ak pakety
odmietam... skratka po odskoceni do chainu mam pravidlo s rovnakymi
podmienkami s rule REJECT/DENY, a staci mi zmenit jedno pravidlo aby som
rozhodol co robit z nechcenymi spojeniami...

myslim ze tym znacne zlepsujem spravovatelnost aj efektivnost firewallu...

trochu mi chyba funkcia ako "lists" v iptables - v liste by boli nejake
netmasky/prefixy, pricom by si ich kernel mohol interne zotriedit podla
poctu hitov a podobne. ale to chce asi request na lkml...

-- 
Matus UHLAR - fantomas, uhlar na fantomas.sk ; http://www.fantomas.sk/
Warning: I wish NOT to receive e-mail advertising to this address.
Varovanie: na tuto adresu chcem NEDOSTAVAT akukolvek reklamnu postu.
M$ Win's are shit, do not use it !