|
|
Пишет Русскоязычное Linux-сообщество (![[info]](http://lj.rossia.org/img/syndicated.gif){kind=small} lj_ru_linux)@ 2013-02-15 11:28:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
iptables
Пятница, падают метеоры (хотя воронку, вроде, нашли - значит метеориты) - самое время задать вопрос:
Есть роутер. За роутером сетка. Хочется для каждого адреса в этой сетке сделать свои правила фильтрации.
Решение "в лоб":
iptables -s x.x.x.1 -j src.x.x.x.1
iptables -d x.x.x.1 -j dst.x.x.x.1
iptables -s x.x.x.2 -j src.x.x.x.2
iptables -d x.x.x.2 -j dst.x.x.x.2
[...]
iptables -N src.x.x.x.1
iptables -N dst.x.x.x.1
[...]
iptables -I src.x.x.x.1 -d 1.2.3.4 -j DROP
iptables -I src.x.x.x.1 -d 5.6.7.8 -j DROP
[...]
Ну и так далее. Решение простое, понятное и даже работающее. Но. Хорошо если у нас этих адресов десяток-другой. А если сотня? А если тысяча? На сколько я помню - пакет пробегает по всем правилам подряд, пока не попадёт под правило, при двух-трёх тысячах правил это будет явно не гуманно.
Собственно вопрос - а нет ли в природе чего-то типа ipset, которе позволит из кучи таких правил сделать хештаблицу с переходами?
Пятница, падают метеоры (хотя воронку, вроде, нашли - значит метеориты) - самое время задать вопрос:
Есть роутер. За роутером сетка. Хочется для каждого адреса в этой сетке сделать свои правила фильтрации.
Решение "в лоб":
iptables -s x.x.x.1 -j src.x.x.x.1
iptables -d x.x.x.1 -j dst.x.x.x.1
iptables -s x.x.x.2 -j src.x.x.x.2
iptables -d x.x.x.2 -j dst.x.x.x.2
[...]
iptables -N src.x.x.x.1
iptables -N dst.x.x.x.1
[...]
iptables -I src.x.x.x.1 -d 1.2.3.4 -j DROP
iptables -I src.x.x.x.1 -d 5.6.7.8 -j DROP
[...]
Ну и так далее. Решение простое, понятное и даже работающее. Но. Хорошо если у нас этих адресов десяток-другой. А если сотня? А если тысяча? На сколько я помню - пакет пробегает по всем правилам подряд, пока не попадёт под правило, при двух-трёх тысячах правил это будет явно не гуманно.
Собственно вопрос - а нет ли в природе чего-то типа ipset, которе позволит из кучи таких правил сделать хештаблицу с переходами?
