Optimalizace iptables pravidel
Dalibor Straka
dast na panelnet.cz
Pondělí Červen 26 19:53:43 CEST 2006
On Mon, Jun 26, 2006 at 10:41:43AM +0200, Petr Horacek wrote:
> Dobry den vsem,
>
Take preji hezky den,
> jelikoz se mi na firewallu zacinaji mnozit pravidla a parkrat se toto
> doporuceni mihlo i tady v konferenci, tak bych chtel udelat optimalizaci
> techto pravidel. Sice jich neni jeste pres 100, ale i tak.
>
> Chtel bych se vas zeptat na nazor/zkusenosti na nektere z techto veci:
>
> - ma vliv rozdeleni do uzivatelskych chainu?
>
> - ma vliv poradi pravidel v chainech (uzivatelskych i standartnich - I,
> O, F) - tzn. ty, ktere predpokladam, ze budou platne nejcasteji,
> presunot na zacatek a naopak; priklad: nejdriv povolit 80 pro web a az
> potom malo vyuzivane 21 ftpko ?
>
> - ma vliv poradi parametru v pravidlu - nedriv rozhrani, pak protokol,
> pak treba port - vyhodnocuje se to postupne jako treba nektere
> programovaci jazyky nebo az cele?
>
> - ma vliv pouziti rozsireni jako iprange, state?
>
> - co delat tam, kde se neda pouzit uzivatelsky chain (tabulky NAT,
> MANGLE) a vic pravidel (markovani podle source IP pro pouziti CBQ)?
>
Odpoved na vsechny vase otazky naleznete v dokumentaci nebo
v jakemkoliv rozsahlejsim tutorialu. Na mnohe byste take prisel
prostym pripsanim kontrolniho pravidla a hlidani jeho pocitadla
treba pres iptables -L.
> Nemate tip na nejaky clanek o takove optimalizaci, pripadne nejaky
> validator?
>
Napriklad Oscar Andreasson.
-- Dalibor Straka
Další informace o konferenci Linux