folgendes liegt vor:

netzwerk mit 50-80 rechnern
router (p4 2,4 ghz, 256 mb ecc ram, ...)

muss ich mit starken performance verlusten rechnen, wenn ich für jede ip-adresse der 50-80 pc eine forwardregel inklusive der erlaubten ports einrichten würde?

also irgendwie sowas:

iptables --A FORWARD --dport 80 -s 192.168.112.10 -m mac --mac-source 00:00:00:00:00:00 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

...

sinn der ganzen sache ist es, dass man dann einfach für einen benutzer alle ports bis auf 110 oder so sperren kann, wenn er ein bestimmtes downloadvolumen oder so erreicht hat.

oder ist das total schwachsinning, da es eventuell viel einfacher geht ?!?

Du kannst mit einem vorangestellten "!" eine Einschränkung umkehren. Damit müßte sich also mit --dport !110 (genaue Syntax wäre noch offen) das erreichen lassen, was du wolltest.

AD!

bei der netzwerkgröße brauchst du keine angst bzgl. performance haben, erst recht nicht bei dem rechner...

solche fragen tauchen auch häufig in der netfilter mailinglist auf

greez

ok, dann werde ich mal anfangen die perlscripte zu schreiben die den kram ausser db auslesen sollen...

mfg
piepre

achso hier geht es um volumen....

da hilft auch das iptable module "limit" weiter
einfach mal bei netfilter.org schaun (POM)

greez

Nen Router mit 2.4 Ghz, bist du wahnsinnig? Der idlet ja nur rum.. ;)

Grüsse, Stefan

er macht ja auch noch ein paar andere sachen (auch wenn das net unbedngt sinnvoll is wegen sicherheit etc, aber anders ging dat hier im wohnheim erstmal net...)