Solaris packet filtering hooks (pfhooks)

  Solaris 10 防护墙 IP Filter 是基于 open source ipfilter 的。Sun 做了一些必要的有益的针对Solaris 的优化, 增加了一些 feature 比如完整的IPv6 的支持, IPv4/IPv6 pools, IPv6 fragment支持等)

  在 Solaris 10 基于 STREAMS 的网络框架里, Solaris 防护墙是由两个内核模块 pfil  + ipf 实现的。

这主要带来了两个问题:

  1. 性能差.
  2. 不能过滤 loopback traffic.  这个问题变得相当突出, 因为 Solaris container 之间的通信就是基于 loopback的。


  pfhooks 是内嵌于TCP、IP, ARP 协议站中的, 这就很好地解决了这两个问题:

    删除了 pfil, 提高了系统的性能;    loopback 的 traffic 在经过 IP 的时候也可以经由 pfhooks 到 ipf 做过滤, 第二个问题得以解决。


  更详细的说明请见 pfhook white paper.

Comments:

Post a Comment:
Comments are closed for this entry.
About

yukun

Search

Archives
« July 2014
SunMonTueWedThuFriSat
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
  
       
Today