|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Pechenin Alexander 2:5020/400 07 Aug 2001 13:21:00
To : All
Subject : IPFW: какие правила сначала, count или все равно?
--------------------------------------------------------------------------------
Я уже поднимал недавно вопрос о правильной очереди построения правил в ipfw,
тут в голове крутится вот еще что, принципиально ли после чего пускать
правила count общитывающие общий трафик сервера и пользователей локальной
сети, дело в том, что также наряду с этим имеются иные
запрещающие\разрешающие правила на определенные порты и адреса, не могут ли
они вносить свои негативные коррективы в подсчет трафика, если они стоят
выше по номеру чем правила, отвечающие за подсчет трафика, может они
"сжирают", принимают на себя как бы, какую-то часть проходящих через них
пакетов, тем самым уменьшая реальный показатель входящего\исходящего трафика
в правилах count?
Может ли такое быть вообще? (почему вопрос, наблюдал, когда прописал два
правила выше count-ов, первое закрывало всем в лок.сети доступ по порту 8080
куда бы то ни было, а второе разрешало его только на серый адрес прокси
сервера, при этом не записывался исходящий трафик пользователей по порту
8080, то есть не учитывались их пакеты уходящие на мой прокси)
Может имеет смысл поместить правила count в самом начале, ну хотя бы после
правил, скажем:
00100 10072 804188 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 divert 8668 ip from 10.0.0.0/24 to any out xmit dc0
00500 0 0 divert 8668 ip from any to 195.195.195.195 in recv
dc0
а уже все остальное пустить после count-ов?
Что скажите одним словом.
--- ifmail v.2.15dev5
* Origin: Ye 'Ol Disorganized NNTPCache groupie (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
