[Freebsd] Тестирование projects/ipsec

Thu, 12 Jan 2017 09:25:39 -0800 

Всем привет,
возможно не все пользователи этой рассылки читают freebsd@ мэйл листы, поэтому на всякий случай пишу ещё сюда. 


Некоторое время назад я занялся переработкой реализации IPsec в FreeBSD 
с целью сделать код более пригодным для параллельной работы.
В результате появился проект, приняти участие в тестировании которого 
хочу предложить вам.


https://lists.freebsd.org/pipermail/freebsd-current/2016-December/064050.html

Здесь примерно то же самое, но по-русски:
http://bu7cher.blogspot.ru/2016/12/projectsipsec.html

Т.к. тестирование идёт неохтно, я портировал изменения в stable/11:
https://lists.freebsd.org/pipermail/freebsd-net/2017-January/046888.html


Проще всего вытянуть исходники из git'а, но пока патч вроде бы 
прикладывается на stable/11, если у вас есть исходники из svn, то для 
прикладывания патча используйте "svn patch" или "svnlite patch".


Коротко о том что содержит патч:

1. Реализация SADB полностью переработана для ухода от эксклюзивных 
блокировок. Теперь используются рефкаунты, шаред локи и хэш таблицы.

В связи с этим могло измениться поведение системы при поиске подходящей SA.


2. Т.к. переработана SADB, пришлось переделывать бОльшую часть 
реализации PF_KEY. IKE демоны могут перестать работать как раньше.



3. Поддержка NAT-T переработана и теперь всегда включена. Удалён код UDP 
инкапсуляции из начальных драфтов по NAT-T, теперь поддерживается только 
вариант описанный в RFC. Теперь есть возможность 
править/игнорировать/пересчитывать контрольные суммы для TCP/UDP в 
транспортном режиме.

https://svnweb.freebsd.org/base?view=revision&revision=309808


4. Добавлен INPCB кеш для политик безопасности, это должно заметно 
снизить оверхед для локальных сетевых приложений от наличия политик IPsec.

https://lists.freebsd.org/pipermail/freebsd-net/2015-April/042121.html


5. Появилась возможность загружать реализацию IPsec и TCP-MD5 в виде 
модуля ядра. Для этого ядро должно быть скомпилировано с опцией 
IPSEC_SUPPORT вместо IPSEC.




5. Добавлен новый виртуальный интерфейс if_ipsec(4), реализующий route 
based IPsec.

https://svnweb.freebsd.org/base?view=revision&revision=309115
https://reviews.freebsd.org/P112


6. Ещё куча всего мелкого и незаметного на первый взгляд, но кто его 
знает. Хотелось бы всётаки, чтоб народ попробовал хотя бы на своих 
обычных конфигурациях, не сломалось ли, прежде чем мержить это базу.


--
WBR, Andrey V. Elsukov
_______________________________________________
Freebsd mailing list
[email protected]
http://078.vps.ho.ua/mailman/listinfo/freebsd






















					Ответить