On Mon, 21 Jun 2004 22:54:53 +0200, Goblin wrote

No czesc tak, a czesc nie... bo np. MASQUERADE sie na dniach zmieni w SNAT i DNAT ze zmiennym --to-source/destination xxxxx . I filtrowanie MAC po iptables musze dozucic, ale to lekko zakrecona bo u mnie 1 lms na kilku serwerach musi rozne ipki po mac'ach filtrowac.

Regułki w tablicy nat testowane są tylko dla pierwszych pakietów dialogów. Zrób jedną regułkę SNAT/MASQUARADE i regułki z testem MAC, a serię MARKów zastąp IPMARK. Przeglądanie filtrów fw dla interfejsu ma złożoność n/256 (zastosowali w kernelu funkcje haszujące i chwała im za to).

Goblin

Pozdrawiam Tomasz Chiliński