IPFW - cisla ruli
Zbyněk Burget
zburget at burgnet.cz
Mon Nov 5 22:12:42 CET 2007
Dan Lukes napsal(a):
> Jestli jde o to, ze mas zakazniky ruznych kategorii a pro jednotlive
> kategorie chces nastavit ruzna pravidla a/nebo rozdilne limity na
> traafic, pricemz zakazniky rozeznavas podle IP, tak bych na to dneska uz
> sel asi jinak.
>
> Ze vsech IP patricich do jedne kategorie bych udelal 'table'.
Pomoci table mam firewall reseny ted. Ovsem onech kategorii je najednou
nejak vice a obcas se stane, ze ma jeden zakaznik prodeleno vic IP - pak
se to zacina komplikovat. Ted mam pomoci mask dynamicky vytvarene queue
i pipe, ovsem pro zakazniky s vice IP musim mit samostatne queue i pipe
- a to uz samo o sobe konfiguraci firewallu zneprehlednuje. Proto jsem
se rozhodl pro storjove generovany binarni strom. Je ale mozne, ze
existuje i jine, jednodussi a prehlednejsi reseni. Jeste zkusim popremyslet.
Pak je taky nekolik zakazniku, kteri maji uplne specifickou linku a to
je pak rucni konfigurace firewallu na masli. Navic se chystam s ohledem
na uz bezmala 400 zakazniku dat konfiguracni data do databaze a firewall
generovat z techto udaju.
>
> Pak bych s odkazem na jednotlive table pakety otagoval ("tag"). Table
> jsou interne implementovany jako b-strom, takze jejich prochazeni je
> pomerne rychle a pritom b-strom nemusis resit ty.
no, ja packety netaguju, ale zpracovavam primo jednotlive tables. Zatim
mne nenapadlo, jak by se v mem pripade tagovani dalo vyuzit - opet
zkusim jeste popremyslet. Pokud je tim mysleno to, aby se nemusely
tables prochazet vickrat, ale uz se v jednotlivych pripadech jen
kontroloval tag, tak to mne opravdu nenapadlo. Asi by to castecne
usetrilo vykon stroje, ale zasadne to problem neresi (pokud jsem neco
zasadniho neprehledl, coz je nejen mozne, ale i pravdepodobne).
>
> Tasledne na pakety patrici do jedne kategorie a tedy opatrene jednim
> tagem ("tagged") aplikoval pravidla poplatne dane kategorii. Vcetne
> pripadnych limitu - pokud chci, aby kazda IP v dane kategorii mela
> vlastni limit, je treba pouzit "mask".
v podstate to tak je ted, jen se nejede podle tagu, ale rovnou podle
tables - provoz je pomoci nekolika skip rozhozeny
>
> Vysledky firewall bude pomerne prehledny a generovani prikazu, ktere mi
> naplni jednotlive 'tables' podstatne jednodusi nez generovani binarniho
> stromu pravidel.
ano, firewall je prehledny. Ovsem dostat do nej "nestandardni kategorii"
zakaznika je komplikovane. Vyzaduje zasah do celkove struktury firewallu.
Zbynek
More information about the Users-l
mailing list