СГ
Бывает по 100 строк ?
Такой конфиг снижает пропускную способность, не?
Такой конфиг снижает пропускную способность, не?
с чего бы ему снижать. там же много условий, которые не всегда проверяются
Size: a a a
2020 April 07
n8
даже когда установлен сраный ufw он умудряется из одного правила слепить сто
n8
поэтому я первым делом его удаляю
t
поэтому я первым делом его удаляю
+
СГ
root@as1-owrt:~# iptables-save|wcэто на виртуальном роутере.
316 3208 24260
t
root@as1-owrt:~# iptables-save|wcэто на виртуальном роутере.
316 3208 24260
Воу, сильно
t
И все 300 грамотные ?
Или образно, каждый порт прописывается своим правилом --dport 80 ; --dport 443 (вместо multiport)
Или образно, каждый порт прописывается своим правилом --dport 80 ; --dport 443 (вместо multiport)
FK
докеры так же любят делать
t
докеры так же любят делать
Плодить правила ?
FK
ага
СГ
И все 300 грамотные ?
Или образно, каждый порт прописывается своим правилом --dport 80 ; --dport 443 (вместо multiport)
Или образно, каждый порт прописывается своим правилом --dport 80 ; --dport 443 (вместо multiport)
вот есть например описание правила:
Он сам создал следующие правила:
root@as1-owrt:~# iptables-save|grep lan_forward
:zone_lan_forward - [0:0]
-A FORWARD -i eth1 -m comment --comment "!fw3" -j zone_lan_forward
-A zone_lan_forward -m comment --comment "!fw3: Custom lan forwarding rule chain" -j forwarding_lan_rule
-A zone_lan_forward -m comment --comment "!fw3: Zone lan to vpn forwarding policy" -j zone_vpn_dest_ACCEPT
-A zone_lan_forward -m comment --comment "!fw3: Zone lan to wan forwarding policy" -j zone_wan_dest_ACCEPT
-A zone_lan_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT
-A zone_lan_forward -m comment --comment "!fw3" -j zone_lan_dest_ACCEPT
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option network 'lan'
config forwarding
option src 'lan'
option dest 'vpn'
config forwarding
option src 'lan'
option dest 'wan'
Он сам создал следующие правила:
root@as1-owrt:~# iptables-save|grep lan_forward
:zone_lan_forward - [0:0]
-A FORWARD -i eth1 -m comment --comment "!fw3" -j zone_lan_forward
-A zone_lan_forward -m comment --comment "!fw3: Custom lan forwarding rule chain" -j forwarding_lan_rule
-A zone_lan_forward -m comment --comment "!fw3: Zone lan to vpn forwarding policy" -j zone_vpn_dest_ACCEPT
-A zone_lan_forward -m comment --comment "!fw3: Zone lan to wan forwarding policy" -j zone_wan_dest_ACCEPT
-A zone_lan_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT
-A zone_lan_forward -m comment --comment "!fw3" -j zone_lan_dest_ACCEPT
СГ
Описывать правила вот так как ниже намного проще чем ручками каждый iptables прописывать:
config forwarding
option src 'lan'
option dest 'vpn'
config forwarding
option src 'lan'
option dest 'wan'
FK
оперврт же
FK
они так любят, да
СГ
оперврт же
ну да, я и говорю что так удобнее описать правила файрвола чем читать/помнить каждую строку из iptables
n8
это как погромисты - перед программой из одной строки нагородят сотню переменных, и 1 строка превращается в сотню строк, потомучто - канонiчно, так надо!
n8
а ты сиди потом разбирайся, вспоминай на каждой строке какой ип у $lan и $wan
СГ
а ты сиди потом разбирайся, вспоминай на каждой строке какой ип у $lan и $wan
не надо вспоминать. lan и wan описываются тоже достаточно просто
config interface 'lan'при этом я могу в зону vpn добавить несколько интерфейсов и правила будут созданы автоматически для каждого
option ifname 'eth1'
option proto 'static'
option ipaddr '192.168.31.1'
option netmask '255.255.255.0'
n8
если я домашний пользователь, и мне надо тупо одной строкой настроить нат?
n8
зачем мне это всё?