înregistrare Logare
Puncte:0
iTaMaR avatar Server

Opțiunile iptables ordonează problemele într-o regulă?

drapel in
iTaMaR

Există o diferență când Opțiuni ordinea este schimbată între aceste 3 reguli?

iptables -A INPUT -p tcp --syn --dport 9000 -m set --match-set someSet src -j ACCEPT
iptables -A INPUT -m set --match-set someSet src --dport 9000 -p tcp --syn -j ACCEPT
iptables -A INPUT --dport 9000 -p tcp --syn -m set --match-set someSet src -j ACCEPT

Parcurgerea urmează ordinea opțiunilor din reguli?

Luați de exemplu această regulă:

iptables -A INPUT -p tcp --syn --dport 9000 -m set --match-set someSet src -j ACCEPT

Înseamnă că iptables caută primul SYN apoi verificați dacă portul de destinație este egal cu 9000 și ultima uitați pentru o potrivire în set?

Și pe acest exemplu:

iptables -A INPUT -m set --match-set someSet src --dport 9000 -p tcp --syn -j ACCEPT

Înseamnă că iptables caută mai întâi o potrivire în set, apoi verifică dacă portul de destinație este egal cu 9000 și ultima caută SYN?

deși toate dau același rezultat atunci când sunt acceptate, dar ar putea fi mai optimizate atunci când sunt respinse dacă comanda are loc în iptables Opțiuni.

166
0 + 0
Puncte:0
avatar Server
drapel in
NiKiZe

Ordinea opțiunilor este în cea mai mare parte nerelevantă.

Ați putea verifica acest lucru salvând regulile, ar trebui să vedeți că toate ajung la fel.

Ordinea logica ar fi: Protocol, port, stare, modul

0 + 0
iTaMaR avatar
drapel in
iTaMaR
Ce se întâmplă dacă setul conține milioane de ip-uri.. nu te poți aștepta ca performanța să fie aceeași dacă traversarea ar începe de la potrivirea setului și ar cădea asupra celorlalți
0
Răspunde
drapel in
NiKiZe
Setul este un modul, așteaptă-te să fie verificat ultimul. Dacă doriți să îl optimizați singur, utilizați reguli separate, trimițând trafic către lanțuri noi care, la rândul lor, face următoarea parte a meciului. Dar fiți avertizat că s-ar putea să nu fie deloc o optimizare.
0
Răspunde
iTaMaR avatar
drapel in
iTaMaR
Știu că lanțul ar face șmecheria, dar aș prefera să adaug cât mai puțin reguli posibile, cum pot determina ordinea filtrului într-o singură regulă?
0
Răspunde
Ginnungagap avatar
drapel gu
Ginnungagap
@iTaMaR, probabil că căutați să optimizați ceva fără importanță.Din nou, ați evaluat ceva înainte de a încerca optimizări excesiv de complicate? `ipset` este conceput pentru a gestiona volume mari de IP-uri și se străduiește să facă căutarea unui IP constant, indiferent de numărul de IP-uri din set, astfel încât operațiunea ar trebui să fie destul de ieftină.
1
Răspunde
iTaMaR avatar
drapel in
iTaMaR
@Ginnungagap Niciun algoritm pentru orice fel de set nu poate potrivi compararea a 16 biți între ei sau potrivirea `opcode`, nu există magie, indiferent cât de eficient va fi!!! Și știți ce, din motive științifice, nu e de evaluare comparativă, tot ce am întrebat a fost cum filtrează `iptables` `regulile` și dacă ordinea are loc.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.