Netmap桥接是否会破解FreeBSD上的ipfw规则

时间:2016-03-30 14:10:19

标签: networking firewall freebsd ipfw

我正在设置启用netmap(高性能桥接防火墙)。

问题是我是否正在使用netmap的桥接工具桥接em0和em1, 并设置ipfw规则来阻止一个em0上的某些类型的流量,它会起作用吗?

内核桥接与ipfw工作正常,但速度慢(不支持netmap),我担心的是如果它短暂的防火墙规则,如果我看一下实现,它对包过滤没有任何作用,只需一次em0收到的数据包将立即转发给em1

netmap桥接工具为bridge.c

1 个答案:

答案 0 :(得分:0)

https://www.freebsd.org/cgi/man.cgi?query=netmap&sektion=4

  

当NIC处于netmap模式时,操作系统仍会相信该界面   正在运行。操作系统为该NIC生成的数据包最终成为一个   netmap环,另一个环用于发送数据包   OS网络堆栈。文件描述符上的close(2)将删除   绑定,并将NIC返回正常模式(重新连接数据   到主机堆栈的路径),或者破坏虚拟端口。

 NICs without native support can still be used in netmap mode through emu-
 lation. Performance is inferior to native netmap mode but still signifi-
 cantly higher than sockets, and approaching that of in-kernel solutions
 such as Linux's pktgen.

PS:

您可以使用ng_ipfw + ng_bridge进行桥接和过滤 - 这是一个快速的基于内核的解决方案

相关问题
最新问题