Optimalizace iptables pravidel
Petr Horacek
horacek na azsoft.cz
Pondělí Červen 26 10:41:43 CEST 2006
Dobry den vsem,
jelikoz se mi na firewallu zacinaji mnozit pravidla a parkrat se toto
doporuceni mihlo i tady v konferenci, tak bych chtel udelat optimalizaci
techto pravidel. Sice jich neni jeste pres 100, ale i tak.
Chtel bych se vas zeptat na nazor/zkusenosti na nektere z techto veci:
- ma vliv rozdeleni do uzivatelskych chainu?
- ma vliv poradi pravidel v chainech (uzivatelskych i standartnich - I,
O, F) - tzn. ty, ktere predpokladam, ze budou platne nejcasteji,
presunot na zacatek a naopak; priklad: nejdriv povolit 80 pro web a az
potom malo vyuzivane 21 ftpko ?
- ma vliv poradi parametru v pravidlu - nedriv rozhrani, pak protokol,
pak treba port - vyhodnocuje se to postupne jako treba nektere
programovaci jazyky nebo az cele?
- ma vliv pouziti rozsireni jako iprange, state?
- co delat tam, kde se neda pouzit uzivatelsky chain (tabulky NAT,
MANGLE) a vic pravidel (markovani podle source IP pro pouziti CBQ)?
Nemate tip na nejaky clanek o takove optimalizaci, pripadne nejaky
validator?
Dekuji za pomoc
--
S pranim pekneho dne
Petr
Další informace o konferenci Linux