Transparentny FW z FreeBSD

Vilém Kebrt vilem.kebrt at gmail.com
Wed Mar 7 16:03:39 CET 2018



> Ano, lze vyuzit netmap(4) a delat si pak s pakety prakticky cokoliv, 
> ale nevidim jak se z tehle urovne rozumne dostat k L3 filtrovani. 
> Jinak, nez, ze si ten filtr proste uplne od podlahy sam napises. A to 
> nebude zadna trivialitka - vem si jen problemy, ktere vzniknou pri 
> zpracovani fragmentovanych paketu. Na L2 je to vic paketu, ale pokud o 
> jejich osudu rozhodujes na L3, tak o zadnem z nich nerozhodnes, dokud 
> nebudes mit vsechny. A to je "nic" v porovnani s problemy, ktere bude 
> potreba vyresit pokud ma onen transparentni FW sahat jeste vys - tedy 
> do L4.
>
>
PF : scrub in on $IFACE all fragment reassemble
     -> tohle rule ti posklada pakety dohromady - alespon ja to u svych 
PF firewallu pouzivam. Vyhnu se problemum s fragmentaci. Imho bych L2 
resil "normalne".

> Mozna by se do hry nejak dal zatahnout netgraph(3) framework, pak by 
> to mozna mohlo byt programatorsky snazsi, ale otazka je jestli az tak 
> zasadne. Navic jsem u NG mel vzdycky trochu pochybnosti o tom, jake 
> datove pruchodnosti s nim lze dosahnout.
>
> A tim se dostavam k me hlavni obave - ze bez ohledu na mnozstvi 
> vlozene energie do kvalitniho naprogramovani bude pomoci FreeBSD velmi 
> obtizne "za lacino" napodobit "standardni reseni u prumyslovych 
> dedicated IPS stroju". Ty stroje jsou totiz pro tuhle ulohu dobre 
> optimalizovane - a z ruzne casti i hardwarove akcelerovane. Obavam se, 
> ze na FreeBSD nebude realne dosahnout "uspokojive pruchodnosti" 
> takoveho firewallu. Mimochodem, to neni "neduvera k FreeBSD", stejnou 
> obavu bych vyjadril u naproste vetsiny generickych OS.
>
Teoreticky bych s tebou i souhlasil, kdybych pred nedavnem nemel pod 
rukama virtualni ips appliance od trendmicra (a to je engine kterej je 
postavenej atop centos).
Zadna akcelerace a pruchodnost celkem hodne slusna (tusim na full 
inspekci jsme meli v labu asi 4,5Gbitu).
Checkpoint appliance taky nemaji hw acceleraci, pouze na urovni skladani 
paketu na sitovkach, resi to vrstvenim subprocesu mezi jadra ktery jsou 
tzv. dedikovany pro urcity pooly. Kazdej pool resi jinej sw blade (aka 
ips , filtering, etc)....
Souhlasim s tim ze to pravdepodobne nebude umet desitky Gbit, ale 1Gbit 
bych si u toho na slusnym zeleze dokazal predstavit.
Vilem



More information about the Users-l mailing list