最近終於把 pf rules 給搞定, 把 firewall 從 ipfilter + ipfw 換成 pf, 想說流量控管和 NAT 可以一起搞定, 後來發現沒那麼簡單...
Design and Performance of the OpenBSD Stateful Packet Filter (pf)
照這篇的說法, 跑 stateless rules 時 ipfilter 效能比較好, 不過以我目前並不大的流量的狀況來看, 兩者應該沒有太大的效能差別. 可是實際在用的時候卻發現 pf 的 latency 大得可怕, 用 ipfilter 跑 justin.tv 的線上實況(1600kbps)相當順暢, 可是用 pf 卻會有嚴重的 delay 和 lag 現象, 根本完全不能用, 問題原因目前還找不到. orz
看來還是繼續用 ipfilter 就好, 流量控管也一樣交給 ipfw(dummynet), 希望 linuxigd 不要哪天又 mark broken...
沒有留言:
張貼留言