Sziasztok!
Van egy szerver 6 db interface-l. Fellehet-e úgy konfigurálni az iptablest-t, hogy adott interfaceken, pld eth4, eth5 ne vizsgálja a csomagokat. Ezen a két interfacen iscsi forgalom menne (mtu 9000) , külön vlan azaz teljesen szeparált hálózat.
Még annyi, hogy nem lesz átmenő forgalom.
- 831 megtekintés
Hozzászólások
Átengedsz a tűzfalon mindent, ami az adott interfészeken (eth4, eth5) kifelé (-o) és befelé (-i) közlekedő forgalom, és a szervernek szól (INPUT, OUTPUT).
A tűzfalszabályok elejére tedd be:
iptables -A INPUT -i eth4 -j ACCEPT
iptables -A INPUT -i eth5 -j ACCEPT
iptables -A OUTPUT -o eth4 -j ACCEPT
iptables -A OUTPUT -o eth5 -j ACCEPT
- A hozzászóláshoz be kell jelentkezni
Kösz, de igy ez vizsgálja a forgalmat eth4, eth5.
Ha nincs a kizárásra lehetőség természetesen ez lesz a megoldása a problémának.
- A hozzászóláshoz be kell jelentkezni
Tudomásom szerint a netfilter mint funkció nem kapcsolható interfészenként.
Egyébként akkora a gép forgalma, hogy gigabites interfésznél észrevehető a CPU-terheltségen két-két ACCEPT szabály a szabálylista elejére (vagy eleje környékére) téve? Ott akkor valami más gond lesz.
- A hozzászóláshoz be kell jelentkezni
Ha a conntracket érted vizsgálat alatt, azt prerouting láncban ki tudod kapcsolni interface alapján, így nem fogja a gépet terhelni.
- A hozzászóláshoz be kell jelentkezni