对于FreeBSD的BSD 介绍包过滤的修订版IPFW2

williamy

对于FreeBSD的BSD 介绍包过滤的修订版IPFW2 ，用于FreeBSD的约10年，再生有所不同内部架构，同时保留了语法规则。 从发行的FreeBSD 4.8蜻蜓BSD的代码库分道扬镳，同时支持IPFW2出现的FreeBSD 4.7，但在当时是实验，并没有被默认启用。 FreeBSD的BSD开发人员有时会试图转移目前的发展IPFW2，但在2008年的工作，并停止该项目仍然在旧的实现ipfw1。

今年发现感兴趣的发烧友谁满足移植和实际的代码库IPFW2对FreeBSD的BSD的处理。 在实施的一些尚未提供的功能，例如，NAT和策略路由，这是计划在将来添加。 测试新IPFW2可以使用的Git存储库的数据 。

http://www.opennet.ru/opennews/art.shtml?num=41249               

williamy

http://www.dragonflydigest.com/2014/12/11/15220.html

lsstarboy

难道是百度翻译的？

williamy

ht            tp        
s:
/
/                  
translate.              
google.                           
com              .sg              /translate?           
      
hl=en&sl=ru&tl=         
zh-CN&u=http                  %3A%2F                  
%2Fwww                          .openn               
et.ru%2Fopenne            
ws%2Fart.sht               
ml%3Fnum%3D41249

williamy

没办法，这里只能这么发URL 神奇的地方啊

lsstarboy

还是dragonfly那个版本吗？
我觉得有些改的没有必要，比如命令格式，ipfw2的格式就挺好的。策略路由倒有必要，但是FB下的结合fib用起来也不错。

williamy

所以你的意思是IPFW是完美不已，那么为什么人们需要改进

lsstarboy

回复 7# williamy


    呵呵，我没说它完美啊，只是说某些地方有点没有必要。DF的那些改进很多地方还是非常好的，就像你给的那个邮件中提到的lockless，性能肯定要好不少，在某个时候就可能被FreeBSD拿过来用。

lsstarboy

另外问一下，dragonFlyBSD的ipfw2才刚开始吗？那篇介绍好像很早就见到了：

路线图：
http://www.dragonflybsd.org/docs/ipfw2/roadmap/


roadmap

in plan: port `table' from FreeBSD

in plan: lua embeded generic module, sample with a simple L7 filtering.

in plan: logging

in plan: Port FIB from FreeBSD/ Cut Off version of FIB/ enhance the forwarding.

in plan: clean up

13-12-2014: plan to reduce the option code usage in raw_socket, introduce IP_FW_X which is compatible with existing code.

10-12-2014: move "dyn_rule check" into basic module.

07-12-2014: action 'tag' 'untag' and filter 'tagged' implemented.

07-12-2014: state table per-cpu in order to call it lock-less stateful firewall.

01-12-2014: 'keep-state' and 'check-state' to make it a stateful firewall.

24-11-2014: port in-kernel nat from freebsd. as well as the libalias kernel module.

18-11-2014: integrate with dummynet module.

18-11-2014: add 'forward' keyword.

17-11-2014: add 'skipto' keyword.

16-11-2014: show the "from any to any" when 'from' and 'to' is not exists in order to look like the same as ipfw.

11-11-2014: aplha 0.1 version of modular design for internal testing .

29-10-2014: expand the 'ipfw_insn' size from 32 bits to 64 bits in order to support modules.

williamy

这是一个很厉害的ipfw2
因为它运行在一个很厉害的系统

有人试试吗?