zabawy z arp

[Zbyniu Krzystolik]

Mniej wiecej Mon, Apr 18, 2005 at 10:53:21AM +0200, zainteresowany Jacek Konieczny rzekl:
> Blokowanie na firewallu jest, szczególnie w dużych sieciach, jeszcze
> gorsze, bo reguły iptables są przeglądane liniowo, co jest strasznie
> nieskalowalne. Już sieć 100 komputerów wymaga sprawdzenia ponad 100
> regułek dla każdego pakietu.

iptables -A blebleble -i eth7 -j MACS

iptables -A MACS bleble -s 192.168.0.0/26 -j MAC1
iptables -A MACS bleble -s 192.168.0.64/26 -j MAC2
iptables -A MACS bleble -s 192.168.0.128/26 -j MAC3
iptables -A MACS bleble -s 192.168.0.192/26 -j MAC4

iptables -A MAC1 -m mac itd...

Wartość pesymistyczna 1 + 4 + 64 = 67, wartość średnia 1 + 2 + 32 = 33
dla podsieci /24. To wersja brute force, dla bardziej wyrafinowanych,
proponuję układanie hostów w kolejności średniego ruchu przez nie 
generowanego :-)

[OT: może wie ktoś ile czasu/mocy zajmują różne testy w iptables? A czy
ich kolejność ma znaczenie?]

Zbyniu
-- 
\78\32\14\46\67\67\90\1A
%% Timeo me dubitare %%