zabawy z arp
Zbyniu Krzystolik
zbyniu w geocarbon.pl
Wto, 19 Kwi 2005, 11:53:02 CEST
Mniej wiecej Tue, Apr 19, 2005 at 10:19:40AM +0200, zainteresowany Jacek Konieczny rzekl:
> On Mon, Apr 18, 2005 at 01:35:12PM +0200, Zbyniu Krzystolik wrote:
> > Mniej wiecej Mon, Apr 18, 2005 at 10:53:21AM +0200, zainteresowany Jacek Konieczny rzekl:
> > > nieskalowalne. Już sieć 100 komputerów wymaga sprawdzenia ponad 100
> > > regułek dla każdego pakietu.
> >
> > iptables -A blebleble -i eth7 -j MACS
> >
> > iptables -A MACS bleble -s 192.168.0.0/26 -j MAC1
> > iptables -A MACS bleble -s 192.168.0.64/26 -j MAC2
> > iptables -A MACS bleble -s 192.168.0.128/26 -j MAC3
> > iptables -A MACS bleble -s 192.168.0.192/26 -j MAC4
> >
> > iptables -A MAC1 -m mac itd...
> >
> > Wartość pesymistyczna 1 + 4 + 64 = 67, wartość średnia 1 + 2 + 32 = 33
> > dla podsieci /24. To wersja brute force, dla bardziej wyrafinowanych,
> > proponuję układanie hostów w kolejności średniego ruchu przez nie
> > generowanego :-)
>
> Tak oczywiście można, i sam tak robię, gdzie już koniecznie muszę
> iptables używać. Tylko po co ręcznie tworzyć zaawansowane struktury
> regół za pomocą iptables, jeśli są inne mechanizmy (ARP, tablice
> routingu, filtry u32 dla QoS), które robią to na poziomie kernela?
> Niestety nie wszędzie można je zastosować.
Ze statycznymi MACami miałem jakieś probelmy, któreś windowsy się
gubiły, ale nie wiem o co do końca chodziło. Iptables też raczej robią
to na poziomie jądra, nie? :) Poza tym robią to wcześniej, bo już w
PREROUTINGu. Do tego ja jestem maniak *tables ;) a cała dysputa bez
konkretnych przypadków i konkretnych pomiarów jest IMO gadaniem raczej
o gustach.
Zbyniu
--
\78\32\14\46\67\67\90\1A
%% Timeo me dubitare %%
Więcej informacji o liście dyskusyjnej pld-users-pl