В сообщении от Monday 04 February 2008 15:20:19 Денис Черносов написал(а): <skip /> > Нигде не наталкивался на предложения по этому поводу. Неужели правильнее > будет это всё повесить на Squid? Или есть третий вариант?
Если Вам нужны acl на http-траффик, то вешайте на сквид. Вообще говоря, это задача, жручая до ресурсов и немного не определённая. Уровень ip ничего не знает о доменных именах, там только ip, и принимать решение надо, исходя из ip. Если Вы хотите принимать решение "на лету", то тут есть два пути. Первый -- back-resolve ипшника в пакете, и сравнение полученного имени с acl. Второй путь -- периодическое обновление кэша ip путём прямого резолва имён, и сравнение пришедшего пакета с кэшем. Первый путь грозит задержками размером в таймаут dns-запроса. Второй путь исключает использование wildcards в именах и масок. Так что решайте. Накидать простенький движок динамических acl, который бы "запитывался" от -j QUEUE, я могу за день, но если не учесть сказанного выше, можно сильно разочароваться в производительности. -- Peter V. Saveliev _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
