On Mon, Apr 05, 2004 at 02:11:19PM +0200, Andrzej Krzysztofowicz wrote:
> A to, ze interfejs (ABI) _kernela_ sie nam co chwile zmienia jest chore.
> Ale to jest konsekwencja korzystania z wersji rozwojowej, a nie stabilnej...
Oficjalna wersja netfiltera się _nie_nadaje_ do normalnego użytku na
większym routerze robiącym maskaradę lub stateful-firewall. Nie ma
możliwości ograniczyć które pakiety/połączenia będą obięte ip_conntrack,
a bez tego mały flood pakietów UDP czy TCP-syn może ten router położyć
(zmiany ip_conntrack_max itp. zabiegi nie wiele pomogą).
Podstawowe założenia iptables/netfilter są bardzo dobre, ale wyszedł im
koszmarny bubel :-( Niestety nie ma nic lepszego (przynajmniej
defaultowo w kernelu).
Pozdrowienia,
Jacek
_______________________________________________________
złota zasada - kto się nie zna, niech się nie wypowiada
