我应该修复“内核中没有 ALTQ 支持”来运行防火墙吗?

我应该修复“内核中没有 ALTQ 支持”来运行防火墙吗?

我只是搞乱了我的pf.conf然后跑了pf,我得到了:

Enabling pf.
No ALTQ support in kernel

当然修复就是重新编译内核,不过那篇文章是针对freebsd 7的。我在自由BSD 9.1

我想知道:

  1. 我真的应该费心启用 ALTQ 并重新编译吗?我需要这样做来重新路由流量进出我的 freebsd 监狱吗?
  2. 修复了吗本文适用于 FreeBSD 9.1,我不想花整夜构建操作系统,最后却发现出了问题!

答案1

我多年来一直运行基于 FreeBSD 的防火墙,没有出现任何问题。我想说,如果您不想执行流量整形操作,则无需修复。或者换句话说:我不会修复它。

答案2

不,你绝对不需要 ALTQ 来重新路由往返于你的 freebsd 监狱的流量。我使用 pf 将外部 IP 上的流量映射到我的监狱运行的静态 IP。以下条目将来自互联网的流量定向到我的邮件服务器的监狱:

ext_if="bce1"

lo_toaster = "127.0.0.6"
toaster    = "208.75.177.101"

nat on $ext_if from $lo_toaster   to any -> $toaster
rdr on $ext_if from any to $toaster      -> $lo_toaster

我有几十个这样设立的监狱。虽然这显然比仅仅为监狱分配公共 IP 更复杂,但它带来了一些不错的好处。我可以更改/添加/删除监狱的公共 IP,并且监狱内的任何内容都不需要触及。编辑 /etc/pf.conf 就完成了。我可以在主机之间移动监狱,而无需触及监狱内的任何东西。因为它们在环回地址上运行,所以我可以同时在多个服务器上启动监狱,进行测试,然后通过更新网络和防火墙规则来移动流量。

很久以前,我使用 ALTQ 从 Windows 主机建立到端口 25 的连接非常非常慢(从任何操作系统“Windows”传入快速原型 tcp ...),但这样做的优点并不值得重建手动内核。

相关内容