Optimalizace iptables pravidel
Tomáš Janoušek
tomi na nomi.cz
Pondělí Červen 26 19:51:13 CEST 2006
Zdar,
Mon, Jun 26, 2006 at 10:41:43AM +0200 Petr Horacek napsal:
> jelikoz se mi na firewallu zacinaji mnozit pravidla a parkrat se toto
> doporuceni mihlo i tady v konferenci, tak bych chtel udelat optimalizaci
> techto pravidel. Sice jich neni jeste pres 100, ale i tak.
Rekl bych, ze pri beznem firewallu s par pravidly to nebude mit vliv tak jako
tak, nicmene:
> - ma vliv rozdeleni do uzivatelskych chainu?
Pokud to snizi pocet pravidel, kterymi se muselo projit, ma.
> - ma vliv poradi pravidel v chainech (uzivatelskych i standartnich - I,
> O, F) - tzn. ty, ktere predpokladam, ze budou platne nejcasteji,
> presunot na zacatek a naopak; priklad: nejdriv povolit 80 pro web a az
> potom malo vyuzivane 21 ftpko ?
Ma, snizite-li prumerny pocet pravidel, kterymi musi projit paket, bude to
rychlejsi.
> - ma vliv poradi parametru v pravidlu - nedriv rozhrani, pak protokol,
> pak treba port - vyhodnocuje se to postupne jako treba nektere
> programovaci jazyky nebo az cele?
To nevim, ale tipoval bych ze ano.
> - ma vliv pouziti rozsireni jako iprange, state?
To asi zalezi na konkretnich rozsirenich a na tom, co jimi nahrazujete.
> - co delat tam, kde se neda pouzit uzivatelsky chain (tabulky NAT,
> MANGLE) a vic pravidel (markovani podle source IP pro pouziti CBQ)?
Pouzit uzivatelsky chain. Bavime-li se o iptables, pak to jde vsude.
S pozdravem,
--
.--------- Tomáš Janoušek a.k.a. Liskni_si ---------.
: NOMI team, developer, http://tomi.nomi.cz/ tomi na nomi.cz :
' JID:liskni_si na jabber.cz, ICQ#161807083, tel:+420608876277 '
Další informace o konferenci Linux