IPset с ядро 2.6.30 си върви на 6 без проблем.. аз не го слагам с всички модули на пач о матика понеже не ми трябват.. но пък си слагам и старата версия понеже има някаква несъвместимост с иптейбълса която честно казано изобщо не помня каква е .. май трябваше да го ъпдейтвам..

cd /usr/src/
wget http://212.75.0.7/ipset-2.5.0.tar
tar jxfv linux-source-2.6.31.tar.bz
ln -s linux-source-2.6.31 linux
tar xfv ipset-2.5.0.tar
cd linux
cp /boot/config-2.6.24 ./.config
make oldconfig
cd ../ipset-2.5.0
make KERNEL_DIR=/usr/src/linux binaries
make KERNEL_DIR=/usr/src/linux binaries_install
make KERNEL_DIR=/usr/src/linux patch_kernel
cd ../linux
vim .config  -- търсиш CONFIG_NETFILTER_XTABLES= сетваш на да
make oldconfig -- отново

и след това компилваш.. при мен става винаги. Надявам се да съм ти помогнал с нещо 

Според райп трябва да си направя графика на ип адресното пространство, колко ип та се използват от мрежата ми..

    *  the IP capacity for each area/pool of IPs
    * the IP usage for each area/pool of IPs (min/avg/max on a daily/weekly/monthly basis)
Семпъл http://www.ripe.net/rs/ipv4/verification-graphs.html

въпроса е че съм с дхцп но със статични ип адреси а статичните ип та не се вписват в дхцп.леас файла от който да мога да си направя такава графика.. та някой знае ли някои тоолс или плугин за която и да е програма че да си направя ************ графики ?

Благодаря предварително за помощта

Редактирано съгласно правилата за прилично поведение.
bop_bop_mara

ПС: мисля да закача към 2000 2500 потребителя, ако някой се интересува как се държи мога да кажа 

Ше кажеш
Само да питам - видя ли, че при създаването на macipmap-a можеш да зададеш политика при липсващи IP/MAC?

Не , много малко документация има за него направо оскъдна.. направих отделни листи с ipmap и macipmap .. също се сблъсках с проблема че имам различни мрежи и за всяка мрежа трябва да правя различна листа и не мога да наблъскам всички в един списък

[load average: 0.00, 0.00, 0.00]

Решението с IPSET се оказа просто перфектно .. не съм предполагал че ще е толкова добре  в момента имам качени на тази машина 1400 човека от който 800 са активни на машината има рутинг шейп и филтеринг..
load average: 0.00, 0.00, 0.00

Благодаря отново на всички отзовали се   

ПС: мисля да закача към 2000 2500 потребителя, ако някой се интересува как се държи мога да кажа 

[load average: 0.00, 0.00, 0.00]

Решението с IPSET се оказа просто перфектно .. не съм предполагал че ще е толкова добре  в момента имам качени на тази машина 1400 човека от който 800 са активни на машината има рутинг шейп и филтеринг..
load average: 0.00, 0.00, 0.00

Благодаря отново на всички отзовали се   

Да мисля че ще се спра на този вариант.. стига да разбера кое как става Мерси за статииката точно нея гледах преди това 

Е... па... ще помагаме, ако трябва

С решение, подобно на FlatTC (+ MAC/IP, +DNAT), сме държали на една машина (двуядрен 3GHz Intel) 1000+ потребители с трафик 200+Mbit full duplex - натоварване около 45% на CPU-то.

Благодаря на всички ви , още утре ще тествам.. да не е днес че ако прецакам нещо лошо.. ще ви напиша комент как се държи на повечко потребители 

connection tracking-a съм го махнал ако е пуснат едва ли ще е това натоварването

но съм сигорен че може да работи и по добре , да работи но не мисля че това може да се изтиска от тази машинка , пък и за момента не е натоварено..

Можеш ли да пейстнеш sar -A 1 и cat /proc/interrupts от "задъханата" машина просто от интерес?

ksoftirqd ли ти товари машината толкова много, top какво казва по въпроса?

Да ksoftirqd ми прави този дерт в момента онлайн са 670 човека и при пуснат иптаблес
load average: 0.97, 0.54, 0.23
  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
    4 root                   15  -5     0    0    0 S   34  0.0  34:36.94 ksoftirqd/0
    7 root                   15  -5     0    0    0 S   19  0.0  40:04.64 ksoftirqd/1

При иптаблес -Ф -Х лоада става на 0.02-0.10
колкото до sar -A 1 няма такава команда

cat /proc/interrupts
           CPU0       CPU1
  0:        213         53   IO-APIC-edge      timer
  1:         36         49   IO-APIC-edge      i8042
  8:         45         46   IO-APIC-edge      rtc0
  9:          0          0   IO-APIC-fasteoi   acpi
 16:          0          0   IO-APIC-fasteoi   uhci_hcd:usb1
 17:          0          0   IO-APIC-fasteoi   uhci_hcd:usb2
 18:          0          0   IO-APIC-fasteoi   uhci_hcd:usb3, ehci_hcd:usb4
 21:          0          0   IO-APIC-fasteoi   uhci_hcd:usb7
 22:          0          0   IO-APIC-fasteoi   uhci_hcd:usb6
 23:          0          0   IO-APIC-fasteoi   uhci_hcd:usb5, ehci_hcd:usb8, pata_it8213
216:  125973877  125879899   PCI-MSI-edge      eth1
217:  115444138  115538281   PCI-MSI-edge      eth0
218:      20422      20249   PCI-MSI-edge      ahci
NMI:          0          0   Non-maskable interrupts
LOC:  712884246  739175930   Local timer interrupts
RES:       1760       2366   Rescheduling interrupts
CAL:      58946      47979   function call interrupts
TLB:       9883       9749   TLB shootdowns
SPU:          0          0   Spurious interrupts
ERR:          0
MIS:          0

------------------------------------------------------------------------------------

cat /proc/cpuinfo
processor       : 0
vendor_id       : GenuineIntel
cpu family      : 6
model           : 23
model name      : Intel(R) Core(TM)2 Duo CPU     E8500  @ 3.16GHz
stepping        : 10
cpu MHz         : 3158.743
cache size      : 6144 KB
physical id     : 0
siblings        : 2
core id         : 0
cpu cores       : 2
apicid          : 0
initial apicid  : 0
fdiv_bug        : no
hlt_bug         : no
f00f_bug        : no
coma_bug        : no
fpu             : yes
fpu_exception   : yes
cpuid level     : 13
wp              : yes
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe nx lm constant_tsc arch_perfmon pebs bts pni monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr sse4_1 lahf_lm
bogomips        : 6317.48
clflush size    : 64
power management:

processor       : 1
vendor_id       : GenuineIntel
cpu family      : 6
model           : 23
model name      : Intel(R) Core(TM)2 Duo CPU     E8500  @ 3.16GHz
stepping        : 10
cpu MHz         : 3158.743
cache size      : 6144 KB
physical id     : 0
siblings        : 2
core id         : 1
cpu cores       : 2
apicid          : 1
initial apicid  : 1
fdiv_bug        : no
hlt_bug         : no
f00f_bug        : no
coma_bug        : no
fpu             : yes
fpu_exception   : yes
cpuid level     : 13
wp              : yes
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe nx lm constant_tsc arch_perfmon pebs bts pni monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr sse4_1 lahf_lm
bogomips        : 6317.72
clflush size    : 64
power management:

FlatTC мисля че е много добро но май няма защита по mac address и до колкото виждам бачка с иптаблес..
ipset още не съм го разгледал 

Работи съвместно с iptables и ipset. Реализацията на MAC/IP филтрация с ipset е елементарна и във всички случаи е за предпочитане пред такава изградена с iptables.
И те съветвам да сложиш поне двуядрен процесор и да разхвърляш IRQ-тата на NIC-овете ...

За MAC/IP защитата:
http://linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=386924398

Да мисля че ще се спра на този вариант.. стига да разбера кое как става Мерси за статииката точно нея гледах преди това 
А м-у другото как мога да - разхвърляш IRQ-тата на NIC-овете
cat /proc/interrupts
216:  126122272  126028946   PCI-MSI-edge      eth1
217:  115582435  115675912   PCI-MSI-edge      eth0
echo "2" /proc/irq/216/smp_affinity
echo "1" /proc/irq/217/smp_affinity
Това ли имаш на предвид или нещо друго?

Има и друг варянт да избягаш от Iptables и да спестиш доста ресурс.
Вдигаш си GW с маска 255.255.255.255,така ще избегнеш рутирането на цялата мрежа през интерфейса,след това обаче при пускане на клиент в мрежата ще трябва да го рутираш ръчно и можеш да го обвържеш по мак адрес със статичен запис в АРП таблицата.

Звучи добре но мисля че не е това моя вариант

ebtables много ми хареса, дори си го сложих.. въпроса е че работи само в bridge което мисля не ме устройва
FlatTC мисля че е много добро но май няма защита по mac address и до колкото виждам бачка с иптаблес..
ipset още не съм го разгледал 

Сега ще погледна той на какъв прицнип работи, не че ще разбера много но поне ще ме упъти
Благодаря ти много за отговора ! 

А според теб кое е най добре да се ползва от тях 

Здравейте, опитвам се да си направя едно рутерче (шейпърче) ползвам хтб-тоолс за шейп на около 2000 човека на него, всички са с реални ип та, за сега нямам проблем с шейпа но се чудя как мога да огранича народа да не си сменя прозиволно ип адресите
Та пробвам така..

iptables -A FORWARD -i eth1  -s xxx.xxx.xxx.xxx/32  -m mac --mac-source  FF:FF:FF:FF:FF:FF -j ACCEPT
iptables -A FORWARD -i eth1  -j DROP

но Цпу то ми почва да се товари доста та чак почва да лагва. 
Та на въпроса има ли начин за по добро филтрирване (друг тоолс) или някаква оптимизация на iptables и какъв е той ?
Благодаря предварително на всички отзовали се!

Ако някой знае или може да ме упъти към скрипт който вади маковете и ип тата от dhcpd.conf a и ги пуска в iptables в графа Accept ще е супер.   '>
Не знам дали това е възможно но ми се ще да е понеже не ми се описват хиляди макове и ип адреси в отделно файлче в което са описани на ръка..
Благодаря предварително за отзовалите се..

Gadinko някой ти прави арп спооф атака , пусни си ICQ Sniffer или както казва дивак dsniff потърси ги из гоогле остави ги за 5 мин в мрежата и виж какво става с arpwatch , така ще предобиеш представа какво става в мрежата ти , най лесно е да го локализираш по принципа на извади това кабелче извади онова кабелче докато стигнеш до някой 12 годишен келеш който си ползва някакав смотан снифер или просто се чуди какво прави тая интересна програмка