用ROS所想

297412370

刚用了一星期ros，看了好多防火墙，思前想后，觉得最不懂的就是FORWARD链。
好多防火墙都写的是INPUT，看了后自己觉得那些是不是写得太重复了，个人觉得只要DROP掉就好了
chain=input in-interface=wan action=drop
chain=input in-interface=lan src-address=192.168.0.88 action=accept
chain=input in-interface=lan action=drop
上面写的意思就是，除了88这个IP可以连接ROS的LAN，对于其它IP，都不能连接WAN和LAN
这样是不是不用再写所谓的防PING和防PING包大小，一样能达到防PING；也不用写防SYN连接ROS的数量呢？上面已经是不能连接ROS，就更不用写防连接ROS的数量了。
或者简写成chain=input in-interface=lan src-address=192.168.0.88 action=accept
  chain=input action=drop

然后来两条chain=forward connection-state=invalid action=drop
         chain=output connection-state=invalid action=drop

我的防火墙就这些。
这里我觉得ROWARD写得太少，但也不知道要写什么
望高手看看，给说说，才刚学用ROS2.927。错误之处勿笑！
另外问个问题，用脚本做了对内网每IP限TCP连接数，结果一放上去，CPU动不动就达到50%-95%，为什么？

47771885

呵呵 呵呵 某些环境是不能全drop

297412370

不懂，楼上的比如说一下吧，我才刚开始用
就是这样的防火墙，好象没什么不正常，就是限制TCP连接数后，CPU占用好高
不限制TCP连接，CPU占用才10以下

专卖精品

人家的防火墙只是给你看看的，不是让你一定要用他的

alphacn

限线程的脚本慎用,工作站台数一多,路由CPU占用率真100%;
公司机器台数少,还是用得蛮好的.

297412370

谢谢楼上的
昨天有台机已经关机了，但CONN里面还有300条这台机IP用不同的端口连接INTEL网上某IP的同一端口，类似下面这样
11    tcp  192.168.0.108:3070    121.10.114.10:80      established 2h27m51s   
12    tcp  192.168.0.108:3399    121.10.114.10:80      established 2h51m39s   
13    tcp  192.168.0.108:3548    121.10.114.10:80      established 3h2m32s

几百条去连接，一般会是什么情况？为什么机子都关掉了，established也不消失？

47771885

/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s \
    tcp-established-timeout=2h tcp-fin-wait-timeout=10s \
    tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \
    tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
    udp-stream-timeout=2m icmp-timeout=10s generic-timeout=5m tcp-syncookie=no
注意那个2H tcp已连接超时