Mniej wiecej Tue, Apr 19, 2005 at 10:19:40AM +0200, zainteresowany Jacek Konieczny rzekl: > On Mon, Apr 18, 2005 at 01:35:12PM +0200, Zbyniu Krzystolik wrote: > > Mniej wiecej Mon, Apr 18, 2005 at 10:53:21AM +0200, zainteresowany Jacek > > Konieczny rzekl: > > > nieskalowalne. Już sieć 100 komputerów wymaga sprawdzenia ponad 100 > > > regułek dla każdego pakietu. > > > > iptables -A blebleble -i eth7 -j MACS > > > > iptables -A MACS bleble -s 192.168.0.0/26 -j MAC1 > > iptables -A MACS bleble -s 192.168.0.64/26 -j MAC2 > > iptables -A MACS bleble -s 192.168.0.128/26 -j MAC3 > > iptables -A MACS bleble -s 192.168.0.192/26 -j MAC4 > > > > iptables -A MAC1 -m mac itd... > > > > Wartość pesymistyczna 1 + 4 + 64 = 67, wartość średnia 1 + 2 + 32 = 33 > > dla podsieci /24. To wersja brute force, dla bardziej wyrafinowanych, > > proponuję układanie hostów w kolejności średniego ruchu przez nie > > generowanego :-) > > Tak oczywiście można, i sam tak robię, gdzie już koniecznie muszę > iptables używać. Tylko po co ręcznie tworzyć zaawansowane struktury > regół za pomocą iptables, jeśli są inne mechanizmy (ARP, tablice > routingu, filtry u32 dla QoS), które robią to na poziomie kernela? > Niestety nie wszędzie można je zastosować.
Ze statycznymi MACami miałem jakieś probelmy, któreś windowsy się gubiły, ale nie wiem o co do końca chodziło. Iptables też raczej robią to na poziomie jądra, nie? :) Poza tym robią to wcześniej, bo już w PREROUTINGu. Do tego ja jestem maniak *tables ;) a cała dysputa bez konkretnych przypadków i konkretnych pomiarów jest IMO gadaniem raczej o gustach. Zbyniu -- \78\32\14\46\67\67\90\1A %% Timeo me dubitare %% _______________________________________________ pld-users-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
