Будет ли мост Netmap нарушать правило ipfw во FreeBSD?

Question

Будет ли мост Netmap нарушать правило ipfw во FreeBSD?

Я работаю над настройкой сетевой карты (высокопроизводительный мост межсетевого экрана).

Вопрос в том, использую ли я инструменты моста netmap для соединения em0 и em1, и настрою правила ipfw, чтобы блокировать некоторые виды трафика на одном em0, это будет работать?

Мостовое ядро работает нормально с ipfw, но оно медленное (не включено netmap), меня беспокоит, если оно закруглит правила брандмауэра, если я посмотрю на реализацию, она ничего не сделает с фильтрацией пакетов, только когда em0 получил пакеты он сразу перешлет на em1

инструменты моста Netmap - это bridge.c

0

networking firewall freebsd ipfw

Источник

user4121884 30 мар '16 в 14:10

1 ответ

Другие вопросы по тегам networking firewall freebsd ipfw

user3479860 29 апр '16 в 16:26 2016-04-29 16:26 · Answer 1 · 2016-04-29 16:26

https://www.freebsd.org/cgi/man.cgi?query=netmap&sektion=4

Пока сетевая карта находится в режиме сетевой карты, ОС все еще будет считать, что интерфейс работает и работает. Сгенерированные ОС пакеты для этого NIC попадают в кольцо сетевых карт, а другое кольцо используется для отправки пакетов в сетевой стек ОС. Функция close(2) в дескрипторе файла удаляет привязку и возвращает сетевой адаптер в обычный режим (переподключение пути данных к стеку хоста) или разрушает виртуальный порт.

 NICs without native support can still be used in netmap mode through emu-
 lation. Performance is inferior to native netmap mode but still signifi-
 cantly higher than sockets, and approaching that of in-kernel solutions
 such as Linux's pktgen.

PS:

Вы можете сделать мост и фильтрацию с помощью ng_ipfw + ng_bridge - это быстрое решение на основе ядра