Hali!
Az elmélkedésem az u32-ről szólna. Az érdekelne, hogy kernel szinten olcsóbb e az u32 modul használatával felépített tűzfalat használni mint a netfilter beépített szabályaival. Pl.:
iptables -m u32 --u32 "16=0xE0000001"
iptables -d 224.0.0.1/32
Ez a két szabály a leírások alapján azonos. De engem az érdekelne hogy mi van mögötte. Viszont nincs kedvem a fél kernel-t végig túrni. Azt gondolom, hogy az beépített szabályoknál sem kell más csak a ip header 16 byte-ját vizsgálni. De ha tovább gondolom akkor
iptables -m u32 --u32 "16=0xE0"
iptables -d 224.0.0.1/8
Itt már elég lenne 1 byte-ot vizsgálni. A beépített is szabály ezt teszi? Vagy le vág még egy kanyart?
- 2013 megtekintés
Hozzászólások
Ezt csak József fogja tudni. :D
- A hozzászóláshoz be kell jelentkezni
Minden iptables szabály tartalmaz forrás és cél IP cím egyezéseket, ha explicit nem adtál meg semmit, akkor is (wildcard). Ezért nem érdemes az u32 egyezést (újra) IP címmel való egyezés-keresésre használni.
- A hozzászóláshoz be kell jelentkezni
Itt már elég lenne 1 byte-ot vizsgálni.
Azt ugye vágod, hogy semmivel nem gyorsabb 1 byte-ot vizsgálni, mint az ip cím mind a 4 byte-ját egyszerre? Akkor minek ilyen hülyeségekkel szarakodni?
- A hozzászóláshoz be kell jelentkezni