FreeBSD pf auf 4.5 aktualisiert!

Yamagi

Possessed With Psi Powers
Staff member
Hallo,
kurz bevor FreeBSD 9 in die heiße Phase geht, ist pf auf die Version aus OpenBSD 4.5 aktualisiert worden. Dies ist zwar bei weitem nicht die aktuelle Fassung, aber das, was machbar war. Vorteil ist, dass der Syntax der pf.conf weitgehend gleich zur bisherigen Version bleibt. Diese neue Version bringt bessere Performance, behebt diverse Bugs und Unzulänglichkeiten und integriert zudem in VNET.

Code:
  Author: bz                                                                    
  Date: Tue Jun 28 11:57:25 2011                                                
  New Revision: 223637                                                          
  URL: http://svn.freebsd.org/changeset/base/223637                             
                                                                                
  Log:                                                                          
    Update packet filter (pf) code to OpenBSD 4.5.                              
                                                                                
    You need to update userland (world and ports) tools                         
    to be in sync with the kernel.                                              
                                                                                
    Submitted by:       mlaier                                                  
    Submitted by:       eri
 
[...] integriert zudem in VNET.
Heißt das, man kann in Zukunft eine PF pro Jail laufen lassen? Oder zumindest in denen, für die man das möchte. Das wäre sehr gut. Es würde auch ein bisschen den nachteil aufwiegen, dass PF kein SMP kann, denn so kann man jails die viel traffic haben einfach eine eigene PF verpassen. Wobei ich trotzdem unsicher bin, ob nicht die neue NetBSD-Firewall nicht eine tolle Ergänzung für FreeBSD wäre :)
 
Theoretisch kann man dann endlos viele pf-Instanzen laufen lassen, ja. Wie weit das praktisch funktioniert weiß ich nicht. Wird man wohl ausprobieren müssen...
 
Welchen Vorteil hat denn die pf gegenüber der ipfw? Vor Jahren, als ich mich zwischen pf und ipfw entscheiden mußte, spielte für mich unter anderem die Tatsache eine Rolle, daß ipf NAT im Kernel durchführte, während man bei ipfw einen separaten Daemon starten mußte. Das war für einen Server mit relativ hoher Netzlast und NAT für mich ein Argument. Heute nutze ich aus Gewohnheit noch die pf, bin aber nicht auf diese angewiesen.

Wenn mich nicht alles täuscht ist doch ipfw das "FreeBSD-native" Filter, oder irre ich? Das das Thema SMP/Multithreading angesprochen wurde: ist ipfw multithreaded?

Danke für die Geduld bei der Beantwortung meiner Frage im voraus (leider habe ich keine Vergleichsmtarix mit Leistungsangaben zu den drei in FreeBSD verwendeten Filtern gefunden).
 
Back
Top