Optimalizace iptables pravidel

Dalibor Straka dast na panelnet.cz
Pondělí Červen 26 19:53:43 CEST 2006


On Mon, Jun 26, 2006 at 10:41:43AM +0200, Petr Horacek wrote:
> Dobry den vsem,
> 
Take preji hezky den,

> jelikoz se mi na firewallu zacinaji mnozit pravidla a parkrat se toto 
> doporuceni mihlo i tady v konferenci, tak bych chtel udelat optimalizaci 
> techto pravidel. Sice jich neni jeste pres 100, ale i tak.
> 
> Chtel bych se vas zeptat na nazor/zkusenosti na nektere z techto veci:
> 
> - ma vliv rozdeleni do uzivatelskych chainu?
> 
> - ma vliv poradi pravidel v chainech (uzivatelskych i standartnich - I, 
> O, F) - tzn. ty, ktere predpokladam, ze budou platne nejcasteji, 
> presunot na zacatek a naopak; priklad: nejdriv povolit 80 pro web a az 
> potom malo vyuzivane 21 ftpko ?
> 
> - ma vliv poradi parametru v pravidlu - nedriv rozhrani, pak protokol, 
> pak treba port - vyhodnocuje se to postupne jako treba nektere 
> programovaci jazyky nebo az cele?
> 
> - ma vliv pouziti rozsireni jako iprange, state?
> 
> - co delat tam, kde se neda pouzit uzivatelsky chain (tabulky NAT, 
> MANGLE) a vic pravidel (markovani podle source IP pro pouziti CBQ)?
> 

Odpoved na vsechny vase otazky naleznete v dokumentaci nebo
v jakemkoliv rozsahlejsim tutorialu. Na mnohe byste take prisel
prostym pripsanim kontrolniho pravidla a hlidani jeho pocitadla
treba pres iptables -L. 

> Nemate tip na nejaky clanek o takove optimalizaci, pripadne nejaky 
> validator?
> 
Napriklad Oscar Andreasson.

-- Dalibor Straka


Další informace o konferenci Linux