To chces mit "v ceste" FreeBSD jako bridge, nikoliv jako router, a na
nem chces filtrovat na L2 ?


On 7.3.2018 14:55, Vilém Kebrt wrote:
Coz je standardni reseni u prumyslovych dedicated IPS stroju :-)

V ty otazce nebylo "zdvizeny oboci" - ja se opravdu chtel jen ujistit, ze spravne chapu zadani. A ano, pochopil jsem to spravne ;-)

Ne, ze by to s FreeBSD bylo nedosazitelne, obzvlast, kdyz se Pepa neptal po vice-mene hotovem reseni, ale je ochoten si ho naprogramova. Ale pokud ni neunika nejaky zasadni trik, tak je to i tak uloha, na kterou neni FreeBSD uplne dobre pripraveno.

Ano, lze vyuzit netmap(4) a delat si pak s pakety prakticky cokoliv, ale nevidim jak se z tehle urovne rozumne dostat k L3 filtrovani. Jinak, nez, ze si ten filtr proste uplne od podlahy sam napises. A to nebude zadna trivialitka - vem si jen problemy, ktere vzniknou pri zpracovani fragmentovanych paketu. Na L2 je to vic paketu, ale pokud o jejich osudu rozhodujes na L3, tak o zadnem z nich nerozhodnes, dokud nebudes mit vsechny. A to je "nic" v porovnani s problemy, ktere bude potreba vyresit pokud ma onen transparentni FW sahat jeste vys - tedy do L4.


Mozna by se do hry nejak dal zatahnout netgraph(3) framework, pak by to mozna mohlo byt programatorsky snazsi, ale otazka je jestli az tak zasadne. Navic jsem u NG mel vzdycky trochu pochybnosti o tom, jake datove pruchodnosti s nim lze dosahnout.

A tim se dostavam k me hlavni obave - ze bez ohledu na mnozstvi vlozene energie do kvalitniho naprogramovani bude pomoci FreeBSD velmi obtizne "za lacino" napodobit "standardni reseni u prumyslovych dedicated IPS stroju". Ty stroje jsou totiz pro tuhle ulohu dobre optimalizovane - a z ruzne casti i hardwarove akcelerovane. Obavam se, ze na FreeBSD nebude realne dosahnout "uspokojive pruchodnosti" takoveho firewallu. Mimochodem, to neni "neduvera k FreeBSD", stejnou obavu bych vyjadril u naproste vetsiny generickych OS.

Nakonec jsme si dopisoval primo s Pepou, protoze nemam v tehle oblasti dostatecne zkusenosti abych mel k tomuhle tematu neco lepsiho nez "odhady dojmem" - a nez ses ted ozval ty, tak to vypadalo, ze to tady nikoho dalsiho ani nezajima ...

Dan



--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem