Тема: ipset script example (Прочетена 1771 пъти)

rcbandit · « -: Nov 12, 2009, 15:13 »

Здравейте
Бих искал да ви помоля (по-точно VladSun) за оптимизиран скрипт за ipset.
Искам да използвам ipset за съхранение на ip-та в един Centos gateway където трябва на всеки потребител да се дава право да има интернет. Тоест имаме един списък от ip-та в който трябва да се проверява всеки минаващ пакет дали може да премине - ако не - дропи се ако да - преминава
Има ли начин скрипта да се напише само да работи с ipset без iptablеs
Може ли възможно най-оптимизирано (за да се използва в натоварена мрежа) да покажете примерен скрипт

поздрави

п п извинявам се в грешен раздел съм пуснал темата
ако може модератора да я премести

VladSun · « **Отговор #1 -:** Nov 12, 2009, 21:24 »

ipset e допълнение към iptables - т.е. не можеш без iptables.
Дадох ти линк към статията http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=386924398
виж т.3.2. - всичко е описано.

rcbandit · « **Отговор #2 -:** Nov 13, 2009, 18:33 »

ясно че това ми трябва

$ipt -A FORWARD -i eth0 -o eth1 -j ACCEPT

$ips -N IPaddress ipmap

$ipt -A FORWARD -m set --set IPaddress src -j ACCEPT
$ipt -A FORWARD -m set --set IPaddress dst -j ACCEPT

$ips -А IPaddress 192.168.1.1

(това не съм го пробвал не знам дали ще тръгне)
Ако взема например само на eth0 да филтрирам входящите заявки няма ли да е по ефективно а сега случая в двете посоки се прави проверка

VladSun · « **Отговор #3 -:** Nov 13, 2009, 18:51 »

Колко IP-та ще филтрираш???
Защото според мен ти трябват поне няколко B-клас мрежи за да се натовари една средна машина с iptables/ipset правила от този вид.

Направи една проба, виж как се държи машината, виж дали изобщо съществуват проблеми, и ЧАК тогава мисли за оптимизация ...

rcbandit · « **Отговор #4 -:** Nov 13, 2009, 19:16 »

Ти лично правил ли си някакви тестове?
На какви скорости и колко пакети в секунда си правил тестове?

п п ами доста ip-та да кажем 500 проблем ли ще са? При скорост близо 1 гигабит. На доста натоварено място смятам да сложа сървъра. Проблема е че пакетите в секунда ще са доста не чак толкова скоростта

какви оптимизации на iptables и ipset могат в случая да се направят

rcbandit · « **Отговор #5 -:** Nov 16, 2009, 09:46 »

имам някакъв проблем с ipset когато въведа нови ip адреси

когато въведа sudo ipset -N IPaddress ipmap
излиза следния проблем

FATAL: Module ip_set not found.
ipset v4.1: Couldn't verify kernel module version!

На ubuntu 9.10 - ядро 2.6.31-14-generic

Накакви идеи как да реша проблема?

VladSun · « **Отговор #6 -:** Nov 16, 2009, 11:37 »

Трябва да прекомпилираш кернела с поддръжка на ipset.

Подобни теми
	Заглавие	Започната от	Отговора	Прегледи	Последна публикация
	помощ за script Общ форум	jico	2	3332	Jan 12, 2005, 17:32 от ivanatora
	script Общ форум	Destruction	7	4902	Feb 21, 2006, 12:34 от Destruction
	Script за ъпдейтване на kde x.x до kde 3.5.1 Настройка на програми	bobibiturboto	9	4569	Mar 31, 2006, 14:53 от poisoner
	Ipmark и ipset едновременно Хардуерни и софтуерни проблеми	VladSun	0	1108	Jul 27, 2006, 01:32 от VladSun
	Install IPset Kernel patch-o-matic-ng Хардуерни и софтуерни проблеми	red_leader	3	1996	Oct 09, 2009, 05:37 от byzon

Автор Тема: ipset script example (Прочетена 1771 пъти)

rcbandit

ipset script example

VladSun

Re: ipset script example

rcbandit

Re: ipset script example

VladSun

Re: ipset script example

rcbandit

Re: ipset script example

rcbandit

Re: ipset script example

VladSun

Re: ipset script example