Constantin Gavrilescu wrote: > Mipclasses face marcarea pachetelor in PREROUTING, pe fiecare interfata > (LAN si NET) > > Daca floodeaza un client din spatele firewall-ului hosturi de pe > cealalta parte "serverul" se duce la un load average de 7 (uniprocesor). > Daca pun regulile in FORWARD nu mai trece floodul, dar serverul tot in > genunchi ramane. fiindca pachetele vin si sint procesate de mipclasses, dupa care abia li se da drop.
> Am pus niste reguli in PREROUTING, care au remediat problema. > > $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -d ! $LAN_IP > --dport 135:139 -j DROP > $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p udp -d ! $LAN_IP > --dport 135:139 -j DROP > $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -d ! $LAN_IP > --dport 445 -j DROP > $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p udp -d ! $LAN_IP > --dport 445 -j DROP > $IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -s ! 192.168.0.0/24 -j DROP > > > Dar nu este asa ca nu trebuie sa se faca filtering in nat? ai incercat sa le pui in mangle ? teoria zice ca e parcurs inainte de -t nat. > Cum este corect? teoria zice ca -t nat nu e pt filtering. pt asta exista -t filter >(a mai aparut si si un side effect care nu mi-am dat seama de la > ce e - calc. nu mai functioneaza corec ca smb master broser, adica nu > mai primeste inscrierile in workgroup). baga un pic de logging. probabil blochezi mai mult decit ar trebui. --- Detalii despre listele noastre de mail: http://www.lug.ro/
