IPFW a aplikace pravidla na skupinu IP

Dan Lukes dan at obluda.cz
Mon Oct 22 13:33:38 CEST 2007

Previous message: IPFW a aplikace pravidla na skupinu IP
Next message: IPFW a aplikace pravidla na skupinu IP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Jaroslav Votruba wrote:
> Jak to mam udelat abych na hromadu ruznych IP jednoduse aplikoval 
> pravidla(povoleni,zakazani urcitych sluzeb). 

	Jak klasifikovat paket podle toho, zda se tyka vyctu urcitych IP tu uz 
padlo - tables.

	Nakonec - tables maji mensi overhead nez list (ktery ma navic omezenou 
velikost).

	Ale kdyz premyslim o optimalizaci - pokud k te skupine adres patri 
vetsi mnozsti pravidel, pak vyhodnesi je misto sady

  -----------
ipfw 200 add ip from table(2) to any rule1
ipfw 201 add ip from table(2) to any rule2
ipfw 202 add ip from table(2) to any rule3
...
ipfw 200+N add ip from table(2) to any ruleN
ipfw 300 ...
  -----------

napsat spis neco takoveho:

  -----------
ipfw 200 add ip from table(2) to any skip 300
ipfw 201 add ip from any to any rule2
ipfw 202 add ip from any to any rule3
...
ipfw 200+N add ip from any to any ruleN
ipfw 300 ...
  -----------

	Vyhodnocovani, zda konkretni IP patri do sady konkretni table ma sice 
slozitost jen radu log2(N), ale pokud by se totez melo delat prilis 
mockrat, je to zbytecne - kdyz to jde udelat jen jednou ...

	Samozrejme plati obecna pravidla pro optimalizaci IPFW pravidel - ta 
pravidla, ktera "trefi" vetsina paketu maji byt co mozna na zacatku - a 
celkove ma byt pocet pravidel co mozna nejmensi (maximalne vyuzivat 
listy, tables, OR).

						Dan

Previous message: IPFW a aplikace pravidla na skupinu IP
Next message: IPFW a aplikace pravidla na skupinu IP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list