0

我正在设置启用网络图(高性能桥接防火墙)。

问题是如果我使用 netmap 的桥接工具来桥接 em0 和 em1,并设置 ipfw 规则来阻止一个 em0 上的某些流量,它会起作用吗?

内核桥接在 ipfw 上运行良好,但速度很慢(未启用网络映射),我担心它是否缩短了防火墙规则,如果我查看实现,它对数据包过滤没有任何作用,只有一次 em0 收到数据包它会立即转发给 em1

网络图桥接工具是bridge.c

4

1 回答 1

0

https://www.freebsd.org/cgi/man.cgi?query=netmap&sektion=4

当 NIC 处于网络映射模式时,操作系统仍会认为接口已启动并正在运行。操作系统为该 NIC 生成的数据包最终进入网络映射环,另一个环用于将数据包发送到操作系统网络堆栈。文件描述符上的 close(2) 删除绑定,并将 NIC 返回到正常模式(将数据路径重新连接到主机堆栈),或破坏虚拟端口。

 NICs without native support can still be used in netmap mode through emu-
 lation. Performance is inferior to native netmap mode but still signifi-
 cantly higher than sockets, and approaching that of in-kernel solutions
 such as Linux's pktgen.

PS:

您可以使用ng_ipfw + ng_bridge进行桥接和过滤- 这是一个基于内核的快速解决方案

于 2016-04-29T16:26:30.037 回答