iptables - konfiguracja dost

[marcin1990]

Witam.

Mam pytanko do bardziej zaawansowanych użytkowników Linuksa. W iptables można odblokować dostęp do internetu przez iptables. Też tak zrobiłem, lecz mam pytanko, czy jednak zrobiłem to dobrze. Wstawiam kawałek iptables:

Kod: Zaznacz cały

#Rodzic
iptables -t nat -A POSTROUTING -s 10.1.213.0 -j MASQUERADE
iptables -A FORWARD -s 10.1.213.0 -j ACCEPT

#Dostep uzytkownikow
iptables -t nat -a POSTROUTING -s 10.1.213.9 -j MASQUERADE
iptables -t nat -a POSTROUTING -s 10.1.213.11 -j MASQUERADE
iptables -t nat -a POSTROUTING -s 10.1.213.12 -j MASQUERADE
.....
iptables -t nat -a POSTROUTING -s 10.1.213.26 -j MASQUERADE

iptables -a FORWARD -s 10.1.213.9 -j ACCEPT
iptables -a FORWARD -s 10.1.213.11 -j ACCEPT
iptables -a FORWARD -s 10.1.213.12 -j ACCEPT
...
iptables -a FORWARD -s 10.1.213.26 -j ACCEPT

Ja to zrobiłem tak, lecz nie jestem pewien jak to będzie się zachowywać przy większej ilości użytkowników, aktualna ilość klientów to 17 podłączonych do serwera, wszystko działa, ale np gdy będzie 40 takich regułek wpisanych, czy nie zawalę tym serwera?

Pozdrawiam Marcin Wijata

[grzesiek]

Nie rozumiem tego, jeżeli w pierwszej regule przepuszczasz całą sieć to co ty potem "odblokowujesz" dla poszczególnych komputerów - gdybyś na początku zablokował to jeszcze jeszcze, a tak?

[marcin1990]

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -s 10.1.213.0 -j MASQUERADE 
iptables -A FORWARD -s 10.1.213.0 -j ACCEPT 

po tej regule nie działa dostęp do internetu, dopiero po dodaniu jeszcze takiego wpisu wtedy dany adres ma dostęp do internetu.

Kod: Zaznacz cały

iptables -t nat -a POSTROUTING -s 10.1.213.9 -j MASQUERADE 

iptables -a FORWARD -s 10.1.213.9 -j ACCEPT 

chyba że zrobię wpis, wtedy ma cała siec o adresie 10.1.213.xx dostęp

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -s 10.1.213.0/3 -j MASQUERADE 
iptables -A FORWARD -s 10.1.213.0/3 -j ACCEPT 

[grzesiek]

Chyba

Kod: Zaznacz cały

10.1.213.0/24

takich konfiguracji jest pełno w internecie.

[marcin1990]

ja robiłem w wpisie

Kod: Zaznacz cały

10.1.213.0/3

wtedy cała sieć miała dostęp do internetu. To co podałem na początku bardzo dobrze, lecz wiem że jeśli będę wpisywał tych reguł więcej wydłuży się czas uruchamiania serwera, ale mnie interesuje tylko opcja taka czy, go zamulę np 50 wpisami, serwer jest dosyć mocny

AMD ATHLON 3200+ 2,2 GHz
1 GB Ram
120 GB Dysk
Dwie Karty sieciowe REALTEK 8139D+

planuje do jednego serwera podłączyć ok 50 osób maks.

Pozdrawiam

[grzesiek]

Nie zamulisz, ja mam może z 300 reguł i nie ma to znaczenia ile ich będzie. Ale za to ma ile pakietów może obsłużyć jedna reguła, jeżeli będziesz pisał uogólnione reguły i będą one pierwsze to będzie dobrze, a jak będziesz dla każdego hosta pisał oddzielne reguły to już gorzej. Zresztą to tak naprawdę zaczyna być istotne przy naprawdę dużym ruchu.

[marcin1990]

tak jak pisałem planuje na jeden serwer średnio 50 hostów podpinać. A każda kolejna antena nadawcza będzie miała swój serwer, z własną konfiguracja. tylko będzie korzystać z łącza z pierwszego głównego serwera.

[TooMeeK]

Najprostsze metody są najlepsze. U mnie sieć udostępnia jedna linijka (wlan0 - łącze podstawowe do rutera, eth0 - kabel, pod którym jest klient, łącze to Neo - podobne - ADSL):

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -s 192.168.0.2 -d 0/0 -j MASQUERADE

Dla całej sieci zrobiłbym więc tak:

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 0/0 -j MASQUERADE