roysbike Опубликовано 7 августа, 2012 · Жалоба Добрый день коллеги. Решил перестроить ipfw. Подскажите. Используем Freebsd MPD5 PF_NAT. через CoA меняем параметры сессии. Планирую сделать таблицы. По умолчанию firewall закрыт. Используем tables's для разрешения интернета. Т.е. ${fwcmd} add allow ip from 'table(4)' to 'table(4)' ${fwcmd} add allow all from any to 'table(4)' out via ng* ${fwcmd} add allow all from 'table(4)' to any in via ng* ---table(4)--- 172.16.200.200/32 0 # Если будет 1500 IP-адресов в таблице с маской /32 , вырастит нагрузка на CPU? ИЛи лучше по умолчанию разрешить инет сделав таблицу 172.16.0.0/16, а блокировать уже на примере с table(4) (1500 адресов блочить) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Strik~er Опубликовано 7 августа, 2012 · Жалоба Добрый день коллеги. Решил перестроить ipfw. Подскажите. Используем Freebsd MPD5 PF_NAT. через CoA меняем параметры сессии. Планирую сделать таблицы. По умолчанию firewall закрыт. Используем tables's для разрешения интернета. Т.е. ${fwcmd} add allow ip from 'table(4)' to 'table(4)' ${fwcmd} add allow all from any to 'table(4)' out via ng* ${fwcmd} add allow all from 'table(4)' to any in via ng* ---table(4)--- 172.16.200.200/32 0 # Если будет 1500 IP-адресов в таблице с маской /32 , вырастит нагрузка на CPU? ИЛи лучше по умолчанию разрешить инет сделав таблицу 172.16.0.0/16, а блокировать уже на примере с table(4) (1500 адресов блочить) ИМХО все запретить, потом разрешать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 7 августа, 2012 · Жалоба ИМХО все запретить, потом разрешать. а нечего что будет 1500 адресов с маской /32 в таблице? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 7 августа, 2012 · Жалоба Ещё как вариант, фильтровать не входящие пакеты на ng интерфейсе, а исходящие на внешнем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 7 августа, 2012 · Жалоба Ещё как вариант, фильтровать не входящие пакеты на ng интерфейсе, а исходящие на внешнем. Лишние затраты CPU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Strik~er Опубликовано 8 августа, 2012 · Жалоба ИМХО все запретить, потом разрешать. а нечего что будет 1500 адресов с маской /32 в таблице? По идее не должно быть. Таблицы имхо как раз для этого и созданы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...