Transparentny FW z FreeBSD

Dan Lukes dan at obluda.cz
Wed Mar 7 15:39:16 CET 2018

Previous message (by thread): Transparentny FW z FreeBSD
Next message (by thread): Transparentny FW z FreeBSD
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

>> To chces mit "v ceste" FreeBSD jako bridge, nikoliv jako router, a na
>> nem chces filtrovat na L2 ?

On 7.3.2018 14:55, Vilém Kebrt wrote:
> Coz je standardni reseni u prumyslovych dedicated IPS stroju :-)

V ty otazce nebylo "zdvizeny oboci" - ja se opravdu chtel jen ujistit, 
ze spravne chapu zadani. A ano, pochopil jsem to spravne ;-)

Ne, ze by to s FreeBSD bylo nedosazitelne, obzvlast, kdyz se Pepa neptal 
po vice-mene hotovem reseni, ale je ochoten si ho naprogramova. Ale 
pokud ni neunika nejaky zasadni trik, tak je to i tak uloha, na kterou 
neni FreeBSD uplne dobre pripraveno.

Ano, lze vyuzit netmap(4) a delat si pak s pakety prakticky cokoliv, ale 
nevidim jak se z tehle urovne rozumne dostat k L3 filtrovani. Jinak, 
nez, ze si ten filtr proste uplne od podlahy sam napises. A to nebude 
zadna trivialitka - vem si jen problemy, ktere vzniknou pri zpracovani 
fragmentovanych paketu. Na L2 je to vic paketu, ale pokud o jejich osudu 
rozhodujes na L3, tak o zadnem z nich nerozhodnes, dokud nebudes mit 
vsechny. A to je "nic" v porovnani s problemy, ktere bude potreba 
vyresit pokud ma onen transparentni FW sahat jeste vys - tedy do L4.

Mozna by se do hry nejak dal zatahnout netgraph(3) framework, pak by to 
mozna mohlo byt programatorsky snazsi, ale otazka je jestli az tak 
zasadne. Navic jsem u NG mel vzdycky trochu pochybnosti o tom, jake 
datove pruchodnosti s nim lze dosahnout.

A tim se dostavam k me hlavni obave - ze bez ohledu na mnozstvi vlozene 
energie do kvalitniho naprogramovani bude pomoci FreeBSD velmi obtizne 
"za lacino" napodobit "standardni reseni u prumyslovych dedicated IPS 
stroju". Ty stroje jsou totiz pro tuhle ulohu dobre optimalizovane - a z 
ruzne casti i hardwarove akcelerovane. Obavam se, ze na FreeBSD nebude 
realne dosahnout "uspokojive pruchodnosti" takoveho firewallu. 
Mimochodem, to neni "neduvera k FreeBSD", stejnou obavu bych vyjadril u 
naproste vetsiny generickych OS.

Nakonec jsme si dopisoval primo s Pepou, protoze nemam v tehle oblasti 
dostatecne zkusenosti abych mel k tomuhle tematu neco lepsiho nez 
"odhady dojmem" - a nez ses ted ozval ty, tak to vypadalo, ze to tady 
nikoho dalsiho ani nezajima ...

Dan

Previous message (by thread): Transparentny FW z FreeBSD
Next message (by thread): Transparentny FW z FreeBSD
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list