The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables и порядок обработки пакетов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение [ Отслеживать ]

"iptables и порядок обработки пакетов"  +/
Сообщение от McLeod095 (??) on 10-Ноя-11, 12:17 
Добрый день всем!

Вот тут задался вопросом, в man iptables есть описание  
-s, --source [!] address[/mask]
              Source specification.  Address can be either a network name, a hostname (please note that specifying any name  to  be  resolved
              with  a remote query such as DNS is a really bad idea), a network IP address (with /mask), or a plain IP address.  The mask can
              be either a network mask or a plain number, specifying the number of 1’s at the left side of the network mask.  Thus, a mask of
              24  is equivalent to 255.255.255.0.  A "!" argument before the address specification inverts the sense of the address. The flag
              --src is an alias for this option.

То есть я могу использовать в указании источника например что-то вроде www.xxx.xxx, и это должно работать. Вот и встал вопрос. Понятно дело что это будет занимать больше времени на обработку правила, т.к. будет идти запрос к днс, но вот что будет с остальными пакетами которые будут приходить например от других хостов, они также будут ждать обработки этого пакета, или для них будет запущена отдельная проверка которая не будет зависеть от времени проверки пакета от хоста www.xxx.xxx.

Надеюсь суть вопроса понятна!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables и порядок обработки пакетов"  +1 +/
Сообщение от Andrey Mitrofanov on 10-Ноя-11, 13:45 
>Вот и встал вопрос. Понятно дело что
> это будет занимать больше времени на обработку правила, т.к. будет идти
> запрос к днс, но вот что будет с остальными пакетами которые
> будут

Не будет. DNS разрешение имени происходит при _добавлении_ правила, в правиле -- уже ip-шник.

--- iptables-save в помощь.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables и порядок обработки пакетов"  +/
Сообщение от LSTemp (ok) on 11-Ноя-11, 02:15 
>[оверквотинг удален]
>            
>   --src is an alias for this option.
> То есть я могу использовать в указании источника например что-то вроде www.xxx.xxx,
> и это должно работать. Вот и встал вопрос. Понятно дело что
> это будет занимать больше времени на обработку правила, т.к. будет идти
> запрос к днс, но вот что будет с остальными пакетами которые
> будут приходить например от других хостов, они также будут ждать обработки
> этого пакета, или для них будет запущена отдельная проверка которая не
> будет зависеть от времени проверки пакета от хоста www.xxx.xxx.
> Надеюсь суть вопроса понятна!

ADD 2 prev
будут. правила сетевого фильтра обрабатываются в том порядке, в котором они в нем записаны

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
MIRhosting
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру