IPFW - cisla ruli

Zbyněk Burget zburget at burgnet.cz
Mon Nov 5 22:12:42 CET 2007

Previous message: IPFW - cisla ruli
Next message: IPFW - cisla ruli
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Dan Lukes napsal(a):

> 	Jestli jde o to, ze mas zakazniky ruznych kategorii a pro jednotlive 
> kategorie chces nastavit ruzna pravidla a/nebo rozdilne limity na 
> traafic, pricemz zakazniky rozeznavas podle IP, tak bych na to dneska uz 
> sel asi jinak.
> 
> 	Ze vsech IP patricich do jedne kategorie bych udelal 'table'.

Pomoci table mam firewall reseny ted. Ovsem onech kategorii je najednou 
nejak vice a obcas se stane, ze ma jeden zakaznik prodeleno vic IP - pak 
se to zacina komplikovat. Ted mam pomoci mask dynamicky vytvarene queue 
i pipe, ovsem pro zakazniky s vice IP musim mit samostatne queue i pipe 
- a to uz samo o sobe konfiguraci firewallu zneprehlednuje. Proto jsem 
se rozhodl pro storjove generovany binarni strom. Je ale mozne, ze 
existuje i jine, jednodussi a prehlednejsi reseni. Jeste zkusim popremyslet.
Pak je taky nekolik zakazniku, kteri maji uplne specifickou linku a to 
je pak rucni konfigurace firewallu na masli. Navic se chystam s ohledem 
na uz bezmala 400 zakazniku dat konfiguracni data do databaze a firewall 
generovat z techto udaju.

> 
> 	Pak bych s odkazem na jednotlive table pakety otagoval ("tag"). Table 
> jsou interne implementovany jako b-strom, takze jejich prochazeni je 
> pomerne rychle a pritom b-strom nemusis resit ty.

no, ja packety netaguju, ale zpracovavam primo jednotlive tables. Zatim 
mne nenapadlo, jak by se v mem pripade tagovani dalo vyuzit - opet 
zkusim jeste popremyslet. Pokud je tim mysleno to, aby se nemusely 
tables prochazet vickrat, ale uz se v jednotlivych pripadech jen 
kontroloval tag, tak to mne opravdu nenapadlo. Asi by to castecne 
usetrilo vykon stroje, ale zasadne to problem neresi (pokud jsem neco 
zasadniho neprehledl, coz je nejen mozne, ale i pravdepodobne).

> 
> 	Tasledne na pakety patrici do jedne kategorie a tedy opatrene jednim 
> tagem ("tagged") aplikoval pravidla poplatne dane kategorii. Vcetne 
> pripadnych limitu - pokud chci, aby kazda IP v dane kategorii mela 
> vlastni limit, je treba pouzit "mask".

v podstate to tak je ted, jen se nejede podle tagu, ale rovnou podle 
tables - provoz je pomoci nekolika skip rozhozeny

> 
> 	Vysledky firewall bude pomerne prehledny a generovani prikazu, ktere mi 
> naplni jednotlive 'tables' podstatne jednodusi nez generovani binarniho 
> stromu pravidel.

ano, firewall je prehledny. Ovsem dostat do nej "nestandardni kategorii" 
  zakaznika je komplikovane. Vyzaduje zasah do celkove struktury firewallu.


Zbynek

Previous message: IPFW - cisla ruli
Next message: IPFW - cisla ruli
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list