В честь 26 годовщины 26 апреля уволился с текущей работы и таки наконец начал проект
http://wiki.freebsd.org/IpfwNg - хотя на работе FreeBSD и была основной системой, реальную возможность пилить ядро я так и не получил (хотя тот же
NAT64 нам бы понадобился не через полгода, так через год
(
Read more... )
Comments 158
#!/bin/sh
args="add 60001 count ip from any to { "
for i in `jot $1 1`
do
args="${args}127.0.0.$i or "
done
args="${args}127.0.1.1 }";
ipfw delete 60001
echo ipfw $args
ipfw $args
Для i386 запускаем скрипт с аргументом 122, для amd64 с аргументом 121. На 8.3 после этого наблюдаем бинарник /sbin/ipfw в состоянии running, жрущий все такты CPU, не убиваемый через kill -9. Любой последующий запуск ipfw - даже ipfw show - порождает второй такой же процесс. Перезагрузиться нормально такая система уже не в состоянии, только через выход в KDB и reboot там.
Reply
Reply
Reply
Reply
2) По поводу привязки к интерфейсам…
в таком виде для провайдерского роутера это малоприменимо.
Например, тазик обслуживает 3000 абонентов - создано 3000 вланов. Если делать 3000 "файрвольчиков", будет сильно размываться кэш.
Один большой, возможно, с чуть более сложной логикой, запросто окажется выгоднее.
Если вместо вланов пппое - там интерфейсы и вовсе динамические, не напривязываешься.
А когда на тачке интерфейсов всего несколько - "привязка" делается несколькими skipto.
Итог - та же самая возможность, что со skipto, просто создана новая сущность. Смысл?
Reply
Чтобы можно было, к примеру, индивидуально задать для каждого абонента, куда ему нельзя ходить.
Reply
Reply
Reply
Reply
Именно так работает эта система.
Reply
Reply
(The comment has been removed)
Leave a comment