2011-07-31

Packet Filter & IPFilter

最近終於把 pf rules 給搞定, 把 firewall 從 ipfilter + ipfw 換成 pf, 想說流量控管和 NAT 可以一起搞定, 後來發現沒那麼簡單...

Design and Performance of the OpenBSD Stateful Packet Filter (pf)

照這篇的說法, 跑 stateless rules 時 ipfilter 效能比較好, 不過以我目前並不大的流量的狀況來看, 兩者應該沒有太大的效能差別. 可是實際在用的時候卻發現 pf 的 latency 大得可怕, 用 ipfilter 跑 justin.tv 的線上實況(1600kbps)相當順暢, 可是用 pf 卻會有嚴重的 delay 和 lag 現象, 根本完全不能用, 問題原因目前還找不到. orz

看來還是繼續用 ipfilter 就好, 流量控管也一樣交給 ipfw(dummynet), 希望 linuxigd 不要哪天又 mark broken...

沒有留言:

張貼留言

打穿 Apple 公司的企業網路, 越玩越好玩(?

We Hacked Apple for 3 Months: Here’s What We Found 本來只想說玩玩看, 打穿就算了, 沒想到玩到上癮, 花了 3 個月挖到 55 個洞... 最後證實了一點, 那就是最後 Apple 還是和其他大公司一樣會為你找到的漏洞付錢的. XD