Software, Support, Documentation
|
|
News,
Internal,
Projects,
Home Software, Support, Documentation |
On Sat, Jan 10, 2004 at 01:58:11PM +0900, Lazy Bastard wrote: > ipfilter와 ipfw를 동시에 사용하는것엔 문제가 없습니다. 저도 예전엔 ipfilter > + dummynet(ipfw)을 사용했습니다. > 그렇지 않습니다. ipfw는 무분별한 mbuf flag를 사용하고 있고 ipfilter 는 이런 ipfw가 사용하는 flag(BSD 계열에서 정의한 mbuf flag외의 ipfw 자신만이 사용하는 flag)를 전혀 고려하지 않습니다. 따라서 어딘가에서 mbuf leak이 발생합니다.(cvs log를 보시면 ipfw때문에 얼마나 많은 문제가 mbuf에서 발생했는지 알 수 있습니다.) Sam Leffer도 지금 작업중이지만 궁극적으로는 mbuf tagging을 사용하는 방법으로 가야합니다. ipfw, ipfilter모두 mbuf tagging을 사용하고 PFIL_HOOKS를 사용한다면 이론상으로는 동시에 여러개의 filtering software를 사용할 수는 있습니다. (물론 MAC에서 사용하는 Persistent tag와의 문제가 해결 되어야 합니다만.) > 문제는 ipfw+natd를 사용하려고 하시면서 IPDIVERT를 빼먹은것 때문인거 > 같습니다. ipfw divert 를 사용하려면 options IPDIVERT 를 추가해서 컴파일 > 하셔야 됩니다. > 문제해결과는 별도로, ipfw를 사용해야할 이유가 없다면 ipfw+natd보단 > ipfilter+ipnat가 nat환경에서 사용하시기 좋습니다. net/linuxigd 같은거도 > 있구요.. > > 4.x라면 말씀하신대로 ipf에서 ipnat을 사용하는게 좋겠습니다. 5.x에서 ipf는 Lock을 하지 않기 때문에 안정적이지 못합니다. -- Pyun YongHyeon <http://www.kr.freebsd.org/~yongari> _______________________________________________ 한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트 questions at kr.FreeBSD.org http://www.kr.FreeBSD.org/mailman/listinfo/questions
|
Copyright © 1998-2005 Korea FreeBSD Users Group. All rights reserved. webmaster at kr.FreeBSD.org $Date: 2004/01/12 12:46:30 $ |
|