IpfwNg

[nuclight]

В честь 26 годовщины 26 апреля уволился с текущей работы и таки наконец начал проект http://wiki.freebsd.org/IpfwNg - хотя на работе FreeBSD и была основной системой, реальную возможность пилить ядро я так и не получил (хотя тот же NAT64 нам бы понадобился не через полгода, так через год

Comments

[victor_sudakov]

Как бы еще ipfw setfib доделать до такого состояния, чтобы можно было трафик локально запущенного приложения отправлять в разные fib. Например входящие запросы к squid и ответы на них обрабатывать в одном fib, а исходящие запросы и ответы на них - в другом. Чтобы не каждое приложение дорабатывать на предмет поддержки SO_SETFIB на сокетах, а иметь какое-то универсальное решение.

[victor_sudakov]

А где в pf работа именно с fib, т.е. с несколькими таблицами маршрутов (а не аналог "ipfw fwd")?

[victor_sudakov]

А для локально запущенных приложений pf rtable разве работает? А то в pf.conf(5) написано "Only effective before the route lookup happened, i.e. when filtering inbound." В такой позе и "ipfw setfib" работает.

А перекладыванием я сейчас как раз и пользуюсь, только ipfw fwd, а не pf. Но вот появилась новая фича с этими fib, захотелось попробовать.

[victor_sudakov]

> ipfw fwd не работает же - он изменяет лишь ip, но кладёт в тот же интерфейс

Как это не работает? "If ipaddr is not a local address, then the port number (if specified) is ignored, and the packet will be forwarded to the remote address, using the route as found in the local routing table for that IP."

А как бы на ipfw fwd делали policy routing, если бы клал только в тот же интерфейс? Или я Вас не понял?

[dadv]

Он кладет в нужный интерфейс, там есть лишь проблема с тем, что переписывание имени исходящего интерфейса в атрибутах пакета не происходит и ipfw продолжает "видеть" имя старого исходящего интерфейса. Но роутинг будет выполнен корректно на указанных next-hop всё равно.

[nuclight]

А что глючное? У нас на работе (с которой и уволился) прекрасно работали, bird_of_luck постарался.