zakazat pristup k Apache
Jan Houstek
Jan.Houstek na mff.cuni.cz
Pondělí Květen 30 14:13:03 CEST 2005
Petr Vileta wrote:
> Omlouvam se za hloupy dotaz, ale nenarazim nahodou na limit delky "prikazove
> radky" nebo nejakeho bufferu? Napriklad u inetd, kdyz jsem zpocatku IP
> adresy zapisoval primo do host.deny tak jsem skoncil, kdyz delka radky byla
> tusim 1024 znaku.
> Pokud je nejaky limit, tak by asi bylo vhodne to pravidlo opakovat pokazde s
> nekolika jinymi IP, ze?
Pravidla iptables jsou ulozena v tabulkach kernelu a (alespon bez
pouziti nejakych specialnich rozsireni jako ippool/ipset) tak, ze jedno
pravidlo matchuje jeden CIDR rozsah (adresa/maska).
Pokud je tech adres hodne (*), zacne byt neefektivni, ze kazdy paket
musi vsechna pravidla prochazet, takze se vyplati je nejak seskupit a
rozdelit do vice chainu. Rucne nebo nejakym automatem. Pripadne sahnout
po reseni typu ipset.
-- Honza Houstek
(*) co je "hodne" zavisi na vykonu stroje a objemu dat, ale zminenych
cca 200 pravidel by to jeste melo hrave zvladat linearne
Další informace o konferenci Linux