IPFW - cisla ruli

[Dan Lukes]

Zbyněk Burget napsal/wrote, On 11/05/07 21:11:
> Chystam se predelat firewall na automaticky generovany s binarnim 
> stromem pro zpracovani jednotlivych uzivatelu site. Rucne se rozhodne 
> prislusna cast firewallu nebude nijak upravovat. A mam trochu strach, 
> abych diky b-tree nepresvihl pocet pravidel...

	Zalezi, co se vlastne presne snazis dosahnout.

	Jestli jde o to, ze mas zakazniky ruznych kategorii a pro jednotlive 
kategorie chces nastavit ruzna pravidla a/nebo rozdilne limity na 
traafic, pricemz zakazniky rozeznavas podle IP, tak bych na to dneska uz 
sel asi jinak.

	Ze vsech IP patricich do jedne kategorie bych udelal 'table'.

	Pak bych s odkazem na jednotlive table pakety otagoval ("tag"). Table 
jsou interne implementovany jako b-strom, takze jejich prochazeni je 
pomerne rychle a pritom b-strom nemusis resit ty.

	Tasledne na pakety patrici do jedne kategorie a tedy opatrene jednim 
tagem ("tagged") aplikoval pravidla poplatne dane kategorii. Vcetne 
pripadnych limitu - pokud chci, aby kazda IP v dane kategorii mela 
vlastni limit, je treba pouzit "mask".

	Vysledky firewall bude pomerne prehledny a generovani prikazu, ktere mi 
naplni jednotlive 'tables' podstatne jednodusi nez generovani binarniho 
stromu pravidel.

	Binarni strojove generovane stromy pravidel se mi jevily byt hitem v 
dobe, kdy tagovani jeste neexistovalo.

	Je ale mozne, ze to cele delas kvuli necemu uplne jinemu ci natolik 
specialnimu, ze se bez samostatnych prikazu obejit neda.

						Dan


-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz