Author |
Message |
|
|
Post subject: pomoc s algoritmom
Posted: 16.06.2007 - 23:04 #53204
|
|
Majster
Joined: Okt 22, 2003
Posts: 3321
Location: Banská Bystrica - Rudlová
|
|
robim jeden algoritmus ktory vypocita z poctu IP adries, za sebou iducich masku pre tento blok IP adries.
Samozrejme nedaju sa do jednej masky schovat vzdy vsetky IP optimalne, takze musim aj vyratat ktore IP oastali a tie budem mat definovane po jednej nie pod maskou, vysledok teda musi byt maska urciteho bloku a zbytok jednotlivych IP adries.
Toto musi byt vypocitane na zaklade poctu vstupnych IP adries.
...jo a maska musi byt v tvare /23 napriklad
Cieľ: Optimalizácia firewallu, aby sa nepovolovali IP adresy z databazy po jednej ale po maskach a zbytkove pojednej, co zrychli start firewallu a narocnost na PC niekolkonasobne, kedze ubudne mozno aj 80 percent pravidiel, v ktorych musi system prehladavat. |
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 17.06.2007 - 00:27 #53206
|
|
Majster
Joined: Okt 19, 2003
Posts: 2339
Location: Bratislava
|
|
Myslim, ze sa to da spravit nasledovne:
Nech n je velkost bloku po sebe iducich IP adries. Potrebujes zistit najvacsie k take, ze dany blok IP adries obsahuje subnet velkosti 2^k.
Nech l = trunc(log_2(n)). Potom bud k = l alebo k = l - 1.
Ked zo vstupneho bloku vylucis zistenu subnetu o velkosti 2^k, zostane ti 0, 1 alebo 2 mensie bloky. T.j. procedura, ktora Ti to robi, rekurzivne zavola seba samu na uvedene mensie bloky.
Toto je zakladna idea. Program Ti mozem napisat zajtra. Este si povedz jazyk, v ktorom to chces. Najjednoduchsi je perl. |
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 17.06.2007 - 00:48 #53207
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
Gyro: takymto sposobom dojdes akurat k tomu ze firewall poriadne zhaluzis - by ma zaujimalo ako chces v takto "zoptimalizovanom" firewalle "rozumne" vyhladavat ci dana IP je alebo nie je "povolena"
Efektivnost firewallu nie je v pocte pravidiel ktore firewall ma, ale v tom kolkymi z tychto pravidiel musi paket prejst. Ak povytvaras dalsie chainy pre cele subnety nemusis nic optimalizovat, potom nahadzes pravidla pre jednoltive IP pod dane chainy. Pravidla ineho subnetu (vramci ineho chainu) sa nebudu tykat paketov ktore do neho nepatria... cize pravidla v ostatnych chainoch neznizia efektivnost firewallu, lebo nimi tieto pakety neprechadzaju.
Co sa tyka doby nacitania firewallu toto asi nie je problem vsak tu masinu nerebootujes kazdych 5 min, ked raz za rok nejaku masinu rebootnes tak to userkovia nejak preziju kym bootne. |
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 17.06.2007 - 00:52 #53208
|
|
Majster
Joined: Okt 22, 2003
Posts: 3321
Location: Banská Bystrica - Rudlová
|
|
Praveze je problem v rychlosti naciatania FW, musi sa minimalne 2 krat za den resetnut, povolene IP adresy viem pretoze tie su v databazy zapisane a firewall si ich nacita po blokoch a nie po jednej, neveril by si ako dlho trva nacitanie IPciek, prvych 400 - 500 este ok ale potom je to otrasne, pri velkom trafiicu nacitava IPceky priblizne 2 za jednu sekundu niekedy aj pomalsie. |
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 17.06.2007 - 01:08 #53209
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
preco 2x za den ? potrebujes nutne resetovat a zase loadovat cely firewall ? nestacilo by ti vlozit / odmazat konkretne pravidla bez reloadnutia firewallu ? Funkcnost firewallu je ta ista ako keby si ho reloadol.
Nevyhoda toho co chces je ze vacsinou ti tie subnety prekryju aj IPcky ktore povolit nechces a takto firewall zasadne fungovat nemoze. Co sa tyka nacitania IP to odkial nacitavas ? nie je problem v pomalosti (odozve) tej databazy ? |
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 17.06.2007 - 09:54 #53212
|
|
|
a nebolo by vhodne povolovat IP co najblizsie k usrom? |
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 17.06.2007 - 10:37 #53213
|
|
Basic
Joined: Feb 05, 2003
Posts: 118
Location: Bratislava
|
|
gyro wrote: ›Praveze je problem v rychlosti naciatania FW, musi sa minimalne 2 krat za den resetnut, povolene IP adresy viem pretoze tie su v databazy zapisane a firewall si ich nacita po blokoch a nie po jednej, neveril by si ako dlho trva nacitanie IPciek, prvych 400 - 500 este ok ale potom je to otrasne, pri velkom trafiicu nacitava IPceky priblizne 2 za jednu sekundu niekedy aj pomalsie.
da sa to vyriesit aj inak - iptables-save/iptables-restore
pozri si aky format ma vstup pre iptables-restore a vygeneruj si nieco take potom z obsahu tvojej db. Nemusis cely fw staci povedzme si spravit jeden chain ktory naplnis cez iptables-restore. |
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 17.06.2007 - 18:00 #53230
|
|
Guru
Joined: Feb 19, 2003
Posts: 1133
Location: blizko Trencina
|
|
akurat som to xcel ist pisat ked som to tu nasiel
urcite si prepis firewall nech pouzije iptables-restore
da sa v tom spravit uplne vsetko podla mojich skusenosti, a start je doslova zlomok sekundy, v porovnani s mozno aj minutou ked loadujes pravidla jedno po druhom.
Co sa tyka zrychlenia prevadzky, mozno by nebolo odveci pozriet sa na IPSET patch. |
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 19.06.2007 - 23:03 #53302
|
|
Majster
Joined: Okt 22, 2003
Posts: 3321
Location: Banská Bystrica - Rudlová
|
|
andreas4all wrote: ›a nebolo by vhodne povolovat IP co najblizsie k usrom?
Urcite nie. |
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 19.06.2007 - 23:03 #53304
|
|
Majster
Joined: Okt 22, 2003
Posts: 3321
Location: Banská Bystrica - Rudlová
|
|
jmi wrote: ›akurat som to xcel ist pisat ked som to tu nasiel
urcite si prepis firewall nech pouzije iptables-restore
da sa v tom spravit uplne vsetko podla mojich skusenosti, a start je doslova zlomok sekundy, v porovnani s mozno aj minutou ked loadujes pravidla jedno po druhom.
Co sa tyka zrychlenia prevadzky, mozno by nebolo odveci pozriet sa na IPSET patch.
O co presne ide ? celkom nerozumiem. Mam sa obratit na google ? |
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 19.06.2007 - 23:09 #53306
|
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 25.06.2007 - 14:28 #53577
|
|
Guru
Joined: Feb 19, 2003
Posts: 1133
Location: blizko Trencina
|
|
2gyro: teraz neviem v akej veci sa xces obratit na google, ale predpokladam ze iptables-restore to nebude.
a na ipset je to prvy odkaz v google, a teda
http://ipset.netfilter.org/ |
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 26.06.2007 - 00:36 #53630
|
|
Majster
Joined: Okt 22, 2003
Posts: 3321
Location: Banská Bystrica - Rudlová
|
|
andreas4all: lebo by ma to zabilo a je to komplikovne v asej strukture
jmi: Dakujem. |
|
|
|
|
|
|
Post subject: RE: pomoc s algoritmom
Posted: 26.06.2007 - 09:23 #53633
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
gyro wrote: ›andreas4all: lebo by ma to zabilo a je to komplikovne v asej strukture.
Nezabilo by ta to, treba ale napisat skript co bude distribuovat "rozkuskovany" firewall po jednotlivych routroch namiesto teba. Takto to funguje v niekolkych sietach co poznam. Bohuzial som tam len ako user takze k tomu softu sa nedostanem ... no pokusim sa |
|
|
|
|
|
|
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group Credits |