[zorp-hu] CSZoneDispatcher DAC violation

Balazs Scheidler bazsi at balabit.hu
2009. Jan. 28., Sze, 10:01:44 CET


On Tue, 2009-01-27 at 11:40 +0100, Kosa Attila wrote:
> On Tue, Jan 27, 2009 at 11:36:31AM +0100, Balazs Scheidler wrote:
> > 
> > a KZorp jelenleg DROP-olja a csomagot, ha egy adott irany nem
> > engedelyezett. Regebben pont igeny volt, hogy a nem engedelyezett
> > iranyok ne menjenek fel a Zorpig, igy sokkal kevesbe terhelik a
> > tuzfalat.
> 
> Az igeny ertheto. Nekem az nem vilagos, hogy ehhez miert nem volt
> eleg az iptables, miert kellett egy ujabb kernelmodul.
> 

A KZorp zona alapu access controlt hasznal, mikozben az iptables IP
subnet alaput. Ezt modellezni iptables rule-okkal akkor csomagszuro
szabalyrendszert jelentett volna, ami jelentos teljesitmenycsokkenest
okozna.

A KZorp kozvetlenul a Zorp konfigbol dolgozik, raadasul az elvegzendo
muvelet hash table lookup alapjan derul ki, nem kell rengeteg szabalyt
iteralni, ami lassu.

-- 
Bazsi



További információk a(z) zorp-hu levelezőlistáról