SPECS (LINUX_2_6): kernel-net-ipp2p.spec - version 0.5c, - _rel
Jacek Konieczny
jajcus w bnet.pl
Pon, 5 Kwi 2004, 15:00:50 CEST
On Mon, Apr 05, 2004 at 02:11:19PM +0200, Andrzej Krzysztofowicz wrote:
> A to, ze interfejs (ABI) _kernela_ sie nam co chwile zmienia jest chore.
> Ale to jest konsekwencja korzystania z wersji rozwojowej, a nie stabilnej...
Oficjalna wersja netfiltera się _nie_nadaje_ do normalnego użytku na
większym routerze robiącym maskaradę lub stateful-firewall. Nie ma
możliwości ograniczyć które pakiety/połączenia będą obięte ip_conntrack,
a bez tego mały flood pakietów UDP czy TCP-syn może ten router położyć
(zmiany ip_conntrack_max itp. zabiegi nie wiele pomogą).
Podstawowe założenia iptables/netfilter są bardzo dobre, ale wyszedł im
koszmarny bubel :-( Niestety nie ma nic lepszego (przynajmniej
defaultowo w kernelu).
Pozdrowienia,
Jacek
Więcej informacji o liście dyskusyjnej pld-devel-pl