IPTABLES不连续多IP匹配的问题!

kong@xm

IPTABLES有不连续多端口匹配的模块,不知道有没有不连续多IP匹配的模块.不知道那位老兄有做过不连续多IP匹配的.

platinum

http://bbs.chinaunix.net/viewthread.php?tid=704524

lihn

platinum

独孤九贱

原帖由 platinum 于 2006-11-13 17:35 发表
http://bbs.chinaunix.net/viewthread.php?tid=704524

有一个ippool好像可以实现这个功能，不过我搞了半天，没有搞清这个东东怎么用，后来想写一个白金兄这样的模块，但是这样实现有一个大问题，如果地址多了，线性检查，效率会较低。

后来无奈，只有自己挂一个Netfilter Hook……

[ 本帖最后由 独孤九贱 于 2006-11-14 09:30 编辑 ]

我

有个专门的工具： ipset

platinum

原帖由 独孤九贱 于 2006-11-14 09:18 发表
后来无奈，只有自己挂一个Netfilter Hook……

九贱兄，自己写一个 Netfilter Hook 是什么意思？是直接挂载到 netfilter 上吗？
这样的好处是不会再线性查找了吗？

独孤九贱

原帖由 platinum 于 2006-11-14 14:29 发表

九贱兄，自己写一个 Netfilter Hook 是什么意思？是直接挂载到 netfilter 上吗？
这样的好处是不会再线性查找了吗？

也就是说，不再做规则检查了，自己单独在Netfilter挂接一个Hook函数来传门处理，这样，可以把所有需要匹配的地址，用hash表、二叉树待来存储，以提高检测效率！如果只是过滤内网地址，因为它们一般都为连续地址，甚至可以用位图来做，进一步提升效率。

如果真要做成规则模块，ippool应该是一个好的解决方法，我搞了半天不知它怎么用，好像它有两个内核模块，一个专门用来组织地址池，另一个就是一个普通的规则模块。你可以研究一下！

[ 本帖最后由 独孤九贱 于 2006-11-14 16:54 编辑 ]

悠闲白云

楼主好，你的multiip我看了，很不错，但在linux3.4.5好象无法编译通过，有什么主意么？