[MASOCH-L] Firewall Iptables -N (criando uma CHAIN)

Leonardo Rodrigues Magalhães leolistas at solutti.com.br
Wed Oct 3 11:50:50 -03 2007 


Wenderson Souza escreveu:
> o que eu estava pensando em fazer é criar uma CHAIN com iptables -N.
>
> mesmo lendo sobre o assunto, ja sabendo como criar a CHAIN, jogar
> certo trafego para esta chain, preciso de uma "luz" de como eu
> controlo justamente o trafego de FORWARD nesta CHAIN, pois os exemplos
> q vi na net utilizam INPUT e OUTPUT.
>   
    fácil fácil


iptables -N fwd_interna_externa
iptables -N fwd_externa_interna

iptables -A fwd_interna_externa -p tcp --dport ..... -j ACCEPT
iptables -A fwd_interna_externa -p udp --dport ... -j ACCEPT

iptables -A fwd_externa_interna -p tcp -m state --state ! NEW -j ACCEPT

iptables -A FORWARD -i $IF_INT -o $IF_EXT -j fwd_interna_externa
iptables -A FORWARD -i $IF_EXT -o $IF_INT -j fwd_externa_interna
iptables -A FORWARD -j DROP

> e apos criar esta CHAIN vocês acham quem minha rotina ira demorar
> menos tempo para rodar?
>   
    A chain é criada apenas uma vez, por isso acho que não vai 
influenciar em absolutamente nada no tempo de execução do seu script.
> pois criarei a chain apenas uma vez e nos FOR's jogarei o ip para a
> CHAIN e nao farei rodar PORTA por PORTA, estou certo neste pensamento?
>   
    Pra cada ip que 'entrar' na chain, ele vai precisar percorrer SIM 
porta a porta. Mas só de criar uma chain pros IPs e/ou pras portas, você 
reduz drasticamente o número de regras criadas, pois hoje você cria N 
regras, sendo N = número de clientes * (número de TCP + número de UDP). 
Mesmo com valores pequenos, quando multiplicados, a coisa cresce.

    Se você utilizar chains, pode otimizar bastante o processamento.

    Se for um pouco mais longe e utilizar -j RETURN, talvez você consiga 
otimizar mais ainda !

> Espero ter sido claro e que alguem possa me ajudar.
>
> --
> Wenderson Souza
> e-mail: wendersonsouza at gmail.com
> msn: wendersonsouza at msn.com
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
>   

-- 


	Atenciosamente / Sincerily,
	Leonardo Rodrigues
	Solutti Tecnologia
	http://www.solutti.com.br

	Minha armadilha de SPAM, NÃO mandem email
	gertrudes at solutti.com.br
	My SPAMTRAP, do not email it

More information about the masoch-l mailing list