我应该修复“内核中没有 ALTQ 支持”来运行防火墙吗？

Question 1

我多年来一直运行基于 FreeBSD 的防火墙，没有出现任何问题。我想说，如果您不想执行流量整形操作，则无需修复。或者换句话说：我不会修复它。

Answer

我多年来一直运行基于 FreeBSD 的防火墙，没有出现任何问题。我想说，如果您不想执行流量整形操作，则无需修复。或者换句话说：我不会修复它。

Question 2

不，你绝对不需要 ALTQ 来重新路由往返于你的 freebsd 监狱的流量。我使用 pf 将外部 IP 上的流量映射到我的监狱运行的静态 IP。以下条目将来自互联网的流量定向到我的邮件服务器的监狱：

ext_if="bce1"

lo_toaster = "127.0.0.6"
toaster    = "208.75.177.101"

nat on $ext_if from $lo_toaster   to any -> $toaster
rdr on $ext_if from any to $toaster      -> $lo_toaster

我有几十个这样设立的监狱。虽然这显然比仅仅为监狱分配公共 IP 更复杂，但它带来了一些不错的好处。我可以更改/添加/删除监狱的公共 IP，并且监狱内的任何内容都不需要触及。编辑 /etc/pf.conf 就完成了。我可以在主机之间移动监狱，而无需触及监狱内的任何东西。因为它们在环回地址上运行，所以我可以同时在多个服务器上启动监狱，进行测试，然后通过更新网络和防火墙规则来移动流量。

很久以前，我使用 ALTQ 从 Windows 主机建立到端口 25 的连接非常非常慢（从任何操作系统“Windows”传入快速原型 tcp ...），但这样做的优点并不值得重建手动内核。

Answer

不，你绝对不需要 ALTQ 来重新路由往返于你的 freebsd 监狱的流量。我使用 pf 将外部 IP 上的流量映射到我的监狱运行的静态 IP。以下条目将来自互联网的流量定向到我的邮件服务器的监狱：

ext_if="bce1"

lo_toaster = "127.0.0.6"
toaster    = "208.75.177.101"

nat on $ext_if from $lo_toaster   to any -> $toaster
rdr on $ext_if from any to $toaster      -> $lo_toaster

我有几十个这样设立的监狱。虽然这显然比仅仅为监狱分配公共 IP 更复杂，但它带来了一些不错的好处。我可以更改/添加/删除监狱的公共 IP，并且监狱内的任何内容都不需要触及。编辑 /etc/pf.conf 就完成了。我可以在主机之间移动监狱，而无需触及监狱内的任何东西。因为它们在环回地址上运行，所以我可以同时在多个服务器上启动监狱，进行测试，然后通过更新网络和防火墙规则来移动流量。

很久以前，我使用 ALTQ 从 Windows 主机建立到端口 25 的连接非常非常慢（从任何操作系统“Windows”传入快速原型 tcp ...），但这样做的优点并不值得重建手动内核。

我应该修复“内核中没有 ALTQ 支持”来运行防火墙吗？

答案1

答案2

相关内容