Ano, lze vyuzit netmap(4) a delat si pak s pakety prakticky cokoliv,
ale nevidim jak se z tehle urovne rozumne dostat k L3 filtrovani.
Jinak, nez, ze si ten filtr proste uplne od podlahy sam napises. A to
nebude zadna trivialitka - vem si jen problemy, ktere vzniknou pri
zpracovani fragmentovanych paketu. Na L2 je to vic paketu, ale pokud o
jejich osudu rozhodujes na L3, tak o zadnem z nich nerozhodnes, dokud
nebudes mit vsechny. A to je "nic" v porovnani s problemy, ktere bude
potreba vyresit pokud ma onen transparentni FW sahat jeste vys - tedy
do L4.
PF : scrub in on $IFACE all fragment reassemble
-> tohle rule ti posklada pakety dohromady - alespon ja to u svych
PF firewallu pouzivam. Vyhnu se problemum s fragmentaci. Imho bych L2
resil "normalne".
Mozna by se do hry nejak dal zatahnout netgraph(3) framework, pak by
to mozna mohlo byt programatorsky snazsi, ale otazka je jestli az tak
zasadne. Navic jsem u NG mel vzdycky trochu pochybnosti o tom, jake
datove pruchodnosti s nim lze dosahnout.
A tim se dostavam k me hlavni obave - ze bez ohledu na mnozstvi
vlozene energie do kvalitniho naprogramovani bude pomoci FreeBSD velmi
obtizne "za lacino" napodobit "standardni reseni u prumyslovych
dedicated IPS stroju". Ty stroje jsou totiz pro tuhle ulohu dobre
optimalizovane - a z ruzne casti i hardwarove akcelerovane. Obavam se,
ze na FreeBSD nebude realne dosahnout "uspokojive pruchodnosti"
takoveho firewallu. Mimochodem, to neni "neduvera k FreeBSD", stejnou
obavu bych vyjadril u naproste vetsiny generickych OS.
Teoreticky bych s tebou i souhlasil, kdybych pred nedavnem nemel pod
rukama virtualni ips appliance od trendmicra (a to je engine kterej je
postavenej atop centos).
Zadna akcelerace a pruchodnost celkem hodne slusna (tusim na full
inspekci jsme meli v labu asi 4,5Gbitu).
Checkpoint appliance taky nemaji hw acceleraci, pouze na urovni skladani
paketu na sitovkach, resi to vrstvenim subprocesu mezi jadra ktery jsou
tzv. dedikovany pro urcity pooly. Kazdej pool resi jinej sw blade (aka
ips , filtering, etc)....
Souhlasim s tim ze to pravdepodobne nebude umet desitky Gbit, ale 1Gbit
bych si u toho na slusnym zeleze dokazal predstavit.
Vilem
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
