Christoph Haas schrieb: > (in einem GUI) von knapp 500 Regeln. Das ganze ist noch nach Gruppen > zusammengefasst, damit nicht jede IP auch eine Regel wird. Wenn du > das in iptables von Hand machen willst, werden das diverse tausend > iptables-Regeln werden. Du bist als Praktikant gerne eingeladen, das
Eine so grosse Zahl Regeln h�rt sich irgendwie "falsch" an. Es gibt zwei Methoden um die Zahl der Regeln �bersichtlich (und auch performant) zu halten. Zum einen die richtige Verwendung von Userchains, �hnlich der Programmierung von Unterroutinen. Ein "Ausmisten" der Regels�tze nach "�berdefinitionen" (z.B. Festlegung der exakten i/o-Schnittstelle in der Hauptregel und der Userchain) offenbart meistens weiteres Vereinfachungs- und Reduktionspotential. Ein weitere zentrale Methode ist das Umbenennen der Schnitstellen. Ich benenne die Schnittstellen z.B .ext1, int0, dmz_web1, vpn_20_port1. usw. Dann kann man Regels�tze mit Wildcards verwenden, die alle exteren, internen, DMZ- oder VPN-Schnittstellen betreffen. Das erh�ht auch die Bedienungssicherheit. Wer merkt sich schon, was genau an eth3 h�ngt? -- [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
