On Fri, 24 Jun 2005 13:50:31 +0200 Karol Kreński <[EMAIL PROTECTED]> wrote:
> "Connection tracking is accomplished with the state option in > iptables". Czy w poniższym (--state) używam obciążającego zasoby > connection tracking? Moduł ip_conntrack jest załadowany. > > Wydaje mi się, że widziałem komentarze "Wolno Ci działa bo masz pewnie > conntrack włączony". Jeżeli istnieje lżejsza wersja / jeżeli można > wyłączyć connection tracking w iptables to jak powinna wyglądać > poniższa reguła input? > > # output rules > /usr/sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to > 195.187.79.45 2>/dev/null /usr/sbin/iptables -A FORWARD -o eth0 -j > ACCEPT 2>/dev/null > > # input rules > /usr/sbin/iptables -A FORWARD -i eth0 -m state --state > RELATED,ESTABLISHED -j ACCEPT 2>/dev/null errr.... no ja się na tym kompletnie nie znam, ale conntrack to chyba ma śledzić w pakietach nagłówki czyli właśnie to state to to uruchamia. iptables sprawdza czy pakiety które ida należą do już nawiązanego połączenia, nowego itp. No jak na mój gust to takie coś nie powinno specjalnie obciążać. Nawet jak masz MTU duze to to sprawdza tylko nagłówek. Chodzi o to zeby jakichś lewych pakietów nie wpuszczać na dany port. Może na p100 to obciąża ale nie wydaje mi się. Zaznaczam ze jestem niezbyt przytomny :) -- Regards l00natyk Mądra krytyka oświeca, głupia gasi. Fredro Aleksander _______________________________________________ pld-users-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
