ฉันมี ipset ชื่อ รายการที่อนุญาต.
ฉันต้องการอนุญาตให้ทุกการเชื่อมต่อกับเครื่องของฉันในทุกพอร์ตยกเว้นพอร์ต 80ซึ่งฉันต้องการอนุญาตการเชื่อมต่อกับ ipset เท่านั้น: รายการที่อนุญาต.
ฉันต้องการกำหนดเป้าหมายเฉพาะ ซิน แพ็คเก็ตจากพอร์ต 80 เพื่อประสิทธิภาพ,
ดังนั้น:
ซิน80รายการที่อนุญาตจากนั้นอนุญาตการเชื่อมต่อ มิฉะนั้นให้ปล่อยแพ็กเก็ต (หากแพ็กเก็ตคือ ซิน 80 และไม่ตรงกับ รายการที่อนุญาต).
ลำดับมีความสำคัญต่อประสิทธิภาพ เนื่องจากฉันไม่ต้องการกรองหรือทำให้การเชื่อมต่อที่สร้างไว้ช้าลง
ฉันกำลังพยายามเขียนกฎ iptables สำหรับมัน
การจับคู่ตามลำดับดังกล่าวสามารถนำไปใช้ได้โดยใช้เชนแบบกำหนดเอง:
iptables -N c1
iptables -N c2
iptables -A INPUT -p TCP --syn -j c1
iptables -A c1 -p tcp --dport 80 -j c2
iptables -A c2 -m set --match-set allowList src -j ยอมรับ
iptables -A c2 -j DROP
อย่างไรก็ตาม ฉันสงสัยว่าคุณจะประสบความสำเร็จ ใดๆ ประสิทธิภาพที่เห็นได้ชัดเจนจากสิ่งนี้ นอกจากนี้ ผู้ดูแลระบบคนต่อไปที่จะรับผิดชอบการสนับสนุนนี้ต่อจากคุณอย่างแน่นอน อย่างน้อยก็ต้องสาปแช่งคุณ
อย่าพยายามเพิ่มประสิทธิภาพก่อนเวลาอันควรและรวมการแข่งขันทั้งหมดไว้ในกฎเดียว ฉันแน่ใจว่ามีบางจุดในระบบของคุณที่สามารถปรับปรุงได้ด้วยการได้รับที่เห็นได้ชัดเจนมากขึ้น
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
