[roysbike]

Добрый день коллеги. Решил перестроить ipfw. Подскажите. Используем Freebsd MPD5 PF_NAT. через CoA меняем параметры сессии.

Планирую сделать таблицы.

По умолчанию firewall закрыт.

Используем tables's для разрешения интернета.

Т.е.

${fwcmd} add allow ip from 'table(4)' to 'table(4)'
${fwcmd} add allow all from any to 'table(4)' out via ng*
${fwcmd} add allow all from 'table(4)' to any  in via ng*

---table(4)---
172.16.200.200/32 0 # Если будет 1500 IP-адресов  в таблице с маской /32 , вырастит нагрузка на CPU?

ИЛи лучше по умолчанию разрешить инет сделав таблицу 172.16.0.0/16,

а блокировать уже на примере с table(4) (1500 адресов блочить)

[Strik~er]

Добрый день коллеги. Решил перестроить ipfw. Подскажите. Используем Freebsd MPD5 PF_NAT. через CoA меняем параметры сессии.

Планирую сделать таблицы.

По умолчанию firewall закрыт.

Используем tables's для разрешения интернета.

Т.е.

${fwcmd} add allow ip from 'table(4)' to 'table(4)'
${fwcmd} add allow all from any to 'table(4)' out via ng*
${fwcmd} add allow all from 'table(4)' to any  in via ng*

---table(4)---
172.16.200.200/32 0 # Если будет 1500 IP-адресов  в таблице с маской /32 , вырастит нагрузка на CPU?

ИЛи лучше по умолчанию разрешить инет сделав таблицу 172.16.0.0/16,

а блокировать уже на примере с table(4) (1500 адресов блочить)

 

ИМХО все запретить, потом разрешать.

[roysbike]

 

ИМХО все запретить, потом разрешать.

а нечего что будет 1500 адресов с маской /32 в таблице?

[terrible]

Ещё как вариант, фильтровать не входящие пакеты на ng интерфейсе, а исходящие на внешнем.

[Ivan_83]

Ещё как вариант, фильтровать не входящие пакеты на ng интерфейсе, а исходящие на внешнем.

Лишние затраты CPU.

[Strik~er]

 

ИМХО все запретить, потом разрешать.

а нечего что будет 1500 адресов с маской /32 в таблице?

По идее не должно быть. Таблицы имхо как раз для этого и созданы.