|
Титла: ipset script example Публикувано от: rcbandit в Nov 12, 2009, 15:13 Здравейте
Бих искал да ви помоля (по-точно VladSun) за оптимизиран скрипт за ipset. Искам да използвам ipset за съхранение на ip-та в един Centos gateway където трябва на всеки потребител да се дава право да има интернет. Тоест имаме един списък от ip-та в който трябва да се проверява всеки минаващ пакет дали може да премине - ако не - дропи се ако да - преминава Има ли начин скрипта да се напише само да работи с ipset без iptablеs Може ли възможно най-оптимизирано (за да се използва в натоварена мрежа) да покажете примерен скрипт поздрави п п извинявам се в грешен раздел съм пуснал темата ако може модератора да я премести Титла: Re: ipset script example Публикувано от: VladSun в Nov 12, 2009, 21:24 ipset e допълнение към iptables - т.е. не можеш без iptables.
Дадох ти линк към статията http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=386924398 виж т.3.2. - всичко е описано. Титла: Re: ipset script example Публикувано от: rcbandit в Nov 13, 2009, 18:33 ясно че това ми трябва
$ipt -A FORWARD -i eth0 -o eth1 -j ACCEPT $ips -N IPaddress ipmap $ipt -A FORWARD -m set --set IPaddress src -j ACCEPT $ipt -A FORWARD -m set --set IPaddress dst -j ACCEPT $ips -А IPaddress 192.168.1.1 (това не съм го пробвал не знам дали ще тръгне) Ако взема например само на eth0 да филтрирам входящите заявки няма ли да е по ефективно а сега случая в двете посоки се прави проверка Титла: Re: ipset script example Публикувано от: VladSun в Nov 13, 2009, 18:51 Колко IP-та ще филтрираш???
Защото според мен ти трябват поне няколко B-клас мрежи за да се натовари една средна машина с iptables/ipset правила от този вид. Направи една проба, виж как се държи машината, виж дали изобщо съществуват проблеми, и ЧАК тогава мисли за оптимизация ... Титла: Re: ipset script example Публикувано от: rcbandit в Nov 13, 2009, 19:16 Ти лично правил ли си някакви тестове?
На какви скорости и колко пакети в секунда си правил тестове? п п ами доста ip-та да кажем 500 проблем ли ще са? При скорост близо 1 гигабит. На доста натоварено място смятам да сложа сървъра. Проблема е че пакетите в секунда ще са доста не чак толкова скоростта какви оптимизации на iptables и ipset могат в случая да се направят Титла: Re: ipset script example Публикувано от: rcbandit в Nov 16, 2009, 09:46 имам някакъв проблем с ipset когато въведа нови ip адреси
когато въведа sudo ipset -N IPaddress ipmap излиза следния проблем FATAL: Module ip_set not found. ipset v4.1: Couldn't verify kernel module version! На ubuntu 9.10 - ядро 2.6.31-14-generic Накакви идеи как да реша проблема? Титла: Re: ipset script example Публикувано от: VladSun в Nov 16, 2009, 11:37 Трябва да прекомпилираш кернела с поддръжка на ipset.
|