forum.opennet.ru - "ipfw vs iptables" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw vs iptables"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw vs iptables"
Сообщение от Septima (ok) on 14-Ноя-05, 18:30 (MSK)
Добрый день! Есть задача описать в файерволле порядка 2K хостов на двух географически разнесенных тазиках. На одном - FreeBSD 5.4, на другом - Linux 2.4.xx. На фре загоняем список в таблицу, пишем нужные правила и тихо радуемся жизни. Как это сделать на линуксе? Прописать 2K правил? Или есть более другие (правильные) способы?.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ipfw vs iptables, MoHaX, 06:01 , 15-Ноя-05, (1)

ipfw vs iptables, Septima, 10:49 , 15-Ноя-05, (2)

ipfw vs iptables, Zerot, 13:14 , 15-Ноя-05, (3)

ipfw vs iptables, Septima, 15:49 , 15-Ноя-05, (4)

ipfw vs iptables, dravor, 16:04 , 15-Ноя-05, (5)

ipfw vs iptables, Septima, 16:36 , 15-Ноя-05, (6)

Сообщения по теме [Сортировка по времени, UBB]

1. "ipfw vs iptables"

Сообщение от MoHaX (ok) on 15-Ноя-05, 06:01  (MSK)

Можно глупый вопрос: что значит "загоняем список в таблицу, пишем нужные правила"? Пример если можно. Просто тоже мучаюсь с кучей хостов в ipfw, думаю как бы упростить это мучение...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw vs iptables"

Сообщение от Septima (??) on 15-Ноя-05, 10:49  (MSK)

>Можно глупый вопрос: что значит "загоняем список в таблицу, пишем нужные правила"?
>Пример если можно. Просто тоже мучаюсь с кучей хостов в ipfw,
>думаю как бы упростить это мучение...
Смотреть в сторону ipfw2 (5.x - по умолчанию, >4.10 - надо вручную указывать опцию в make.conf при сборке мира).
ipfw table 1 add ${IP}
.......................
ipfw table 2 add ${IP2}
.......................
ipfw add pass all from table$1$ to any via ${if0}
ipfw add deny all from table$2$ to any via ${if1}
etc (ваши вариации на заданную тему).
Можно ли подобное сотворить с iptables?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ipfw vs iptables"

Сообщение от Zerot on 15-Ноя-05, 13:14  (MSK)

Linux, FreeBSD ...разницы то нет
как вариант, могу предложить простое и наглядное решение, но на любителя
пишите скрипт, например на Perl, который обрабатывает ваши списки и запускает требуемые правила, в него можно вставить и кучу дополнительного полезного функционала
конечно реально - это прописывание отдельных правил, пусть и не руками, если, конечно нельзя агрегировать по подсетям, но списки из 10хК вполне нормально обрабатываются ядром даже на слабом железе

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ipfw vs iptables"

Сообщение от Septima (??) on 15-Ноя-05, 15:49  (MSK)

>Linux, FreeBSD ...разницы то нет
Принциппиальной - нет, согласен. Мне бы вот с реализацией...
>списки из 10хК вполне нормально обрабатываются ядром даже на слабом железе
Ok, за это спасибо!

>пишите скрипт...
Обработка такого массива, понятно, не ручное дело...
>конечно реально - это прописывание отдельных правил, пусть и не руками, если, конечно нельзя агрегировать по подсетям,
Хочется сделать вариант, который был бы достаточно легок в дальнейшем управлении. Пока я сделал через отдельные цепочки. Можно подсказать пример работы опции --jump? Мои цепочки оканчиваются на iptables -A -j RETURN. Достаточно ли будет в нужном месте поставить правило iptables -A INPUT -i ${oif} -j <TARGET CHAIN>?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ipfw vs iptables"

Сообщение от dravor on 15-Ноя-05, 16:04  (MSK)

В связи с этим вопрос, который меня давно мучает: Сколько записей способна потянуть таблица в новом ipfw? Есть ли какие-то ограничения по размерам или скорости работы, накладываемые большими таблицами? Что быстрее: 20000 записей ipfw, или одна, использующая таблицу из 20000 записей?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ipfw vs iptables"

Сообщение от Septima (??) on 15-Ноя-05, 16:36  (MSK)

Согласно тестам из uafug, чем больше количество адресов, тем больше преимущество таблиц. На малых количества лучше просто перечислять адреса в одном правиле (ipfw2).
Из man ipfw:
     Lookup tables are useful to handle large sparse address sets, typically from a hundred to several thousands of entries.  There could be 128 different lookup tables, numbered 0 to 127.
[skip...]
Internally, each table is stored in a Radix tree, the same way as the routing table (see route(4)).
Т.е., количество записей в каждой таблице может быть столько, сколько и количество записей в таблице маршрутизации. ;-)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw vs iptables"
Сообщение от MoHaX (ok) on 15-Ноя-05, 06:01 (MSK)
Можно глупый вопрос: что значит "загоняем список в таблицу, пишем нужные правила"? Пример если можно. Просто тоже мучаюсь с кучей хостов в ipfw, думаю как бы упростить это мучение...
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ipfw vs iptables"
	Сообщение от Septima (??) on 15-Ноя-05, 10:49 (MSK)
	>Можно глупый вопрос: что значит "загоняем список в таблицу, пишем нужные правила"? >Пример если можно. Просто тоже мучаюсь с кучей хостов в ipfw, >думаю как бы упростить это мучение... Смотреть в сторону ipfw2 (5.x - по умолчанию, >4.10 - надо вручную указывать опцию в make.conf при сборке мира). ipfw table 1 add ${IP} ....................... ipfw table 2 add ${IP2} ....................... ipfw add pass all from table\(1\) to any via ${if0} ipfw add deny all from table\(2\) to any via ${if1} etc (ваши вариации на заданную тему). Можно ли подобное сотворить с iptables?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "ipfw vs iptables"
Сообщение от Zerot on 15-Ноя-05, 13:14 (MSK)
Linux, FreeBSD ...разницы то нет как вариант, могу предложить простое и наглядное решение, но на любителя пишите скрипт, например на Perl, который обрабатывает ваши списки и запускает требуемые правила, в него можно вставить и кучу дополнительного полезного функционала конечно реально - это прописывание отдельных правил, пусть и не руками, если, конечно нельзя агрегировать по подсетям, но списки из 10хК вполне нормально обрабатываются ядром даже на слабом железе
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ipfw vs iptables"
	Сообщение от Septima (??) on 15-Ноя-05, 15:49 (MSK)
	>Linux, FreeBSD ...разницы то нет Принциппиальной - нет, согласен. Мне бы вот с реализацией... >списки из 10хК вполне нормально обрабатываются ядром даже на слабом железе Ok, за это спасибо! >пишите скрипт... Обработка такого массива, понятно, не ручное дело... >конечно реально - это прописывание отдельных правил, пусть и не руками, если, конечно нельзя агрегировать по подсетям, Хочется сделать вариант, который был бы достаточно легок в дальнейшем управлении. Пока я сделал через отдельные цепочки. Можно подсказать пример работы опции --jump? Мои цепочки оканчиваются на iptables -A -j RETURN. Достаточно ли будет в нужном месте поставить правило iptables -A INPUT -i ${oif} -j <TARGET CHAIN>?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ipfw vs iptables"
	Сообщение от dravor on 15-Ноя-05, 16:04 (MSK)
	В связи с этим вопрос, который меня давно мучает: Сколько записей способна потянуть таблица в новом ipfw? Есть ли какие-то ограничения по размерам или скорости работы, накладываемые большими таблицами? Что быстрее: 20000 записей ipfw, или одна, использующая таблицу из 20000 записей?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ipfw vs iptables"
	Сообщение от Septima (??) on 15-Ноя-05, 16:36 (MSK)
	Согласно тестам из uafug, чем больше количество адресов, тем больше преимущество таблиц. На малых количества лучше просто перечислять адреса в одном правиле (ipfw2). Из man ipfw: Lookup tables are useful to handle large sparse address sets, typically from a hundred to several thousands of entries. There could be 128 different lookup tables, numbered 0 to 127. [skip...] Internally, each table is stored in a Radix tree, the same way as the routing table (see route(4)). Т.е., количество записей в каждой таблице может быть столько, сколько и количество записей в таблице маршрутизации. ;-)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]