Chinaunix首页 | 论坛 | 博客
  • 博客访问: 642793
  • 博文数量: 76
  • 博客积分: 3091
  • 博客等级: 中校
  • 技术积分: 996
  • 用 户 组: 普通用户
  • 注册时间: 2007-03-11 15:40
个人简介

IT老兵,爱好胡思乱想、读书和交流,2015年底重新回到IT战场,期待再一次“贯穿”。

文章存档

2020年(11)

2018年(1)

2017年(1)

2016年(1)

2015年(1)

2014年(2)

2011年(5)

2010年(2)

2009年(4)

2008年(28)

2007年(20)

我的朋友

分类: 系统运维

2008-01-13 15:04:41

 BSD的方案就多一些,目前市面上大多软路由都是基于BSD(所谓的硬路由也差不多),估计主要原因有:BSD网络效率高;BSD防火墙选择多;BSD许可证好;更重要的也许是因为有人还写了很好的图形界面(如m0n0wall、pfsense)并整合所有部件,定制一下就可算个产品了。
 总的来说,pfsense是需要重点研究的方案。
1,BSD防火墙组件
FreeBSD 的基本系统内建了三种不同的防火墙软件包。 它们是 IPFILTER (也被称作 IPF)、 IPFIREWALL (也被称作 IPFW), 以及 OpenBSD 的 PacketFilter (也被称为 PF)。
IPFIREWALL (IPFW) 是一个由 FreeBSD 发起的防火墙应用软件, 它由 FreeBSD 的志愿者成员编写和维护。 它使用了传统的无状态规则和规则编写方式,以期达到简单状态逻辑所期望的目标。
IPFILTER 是独立于操作系统的开放源代码应用,并且已经被移植到了 FreeBSD、 NetBSD、 OpenBSD、 SunOS、 HP/UX, 以及 Solaris 操作系统上。 IPFILTER 的支持和维护都相当活跃,并且有规律地发布更新版本。IPFILTER 提供了内核模式的防火墙和 NAT 机制(状态机制),而且它内建了 ftp 代理,这些机制可以通过用户模式运行的接口程序进行监视和控制。  
2003 年 7 月, OpenBSD 的防火墙, PF 被成功地移植到了 FreeBSD 上; 第一个将 PF 集成到基本系统中的版本是 2004 年 11 月发行的 FreeBSD 5.3。 PF 是一个完整的提供了大量功能的防火墙软件, 并提供了可选的 ALTQ (交错队列, Alternate Queuing) 功能。
  FreeBSD 包含多个内建的防火墙软件包的原因在于,不同的人会有不同的需求和偏好。任何一个防火墙软件包都很难说是最好的。
2,BSD流量控制组件
FreeBSD提供了两个内建的、 用于流量整形 (基本上是控制带宽占用) 的软件包: altq(4) 和 dummynet(4)。 Dummynet 在过去一直和 IPFW 紧密集成, 而 ALTQ 则需要配合 IPF/PF 使用。 IPF、 IPFW, 以及 PF 都是用规则来控制是否允许数据包出入您的系统, 虽然它们采取了不同的实现方法和规则语法。
3,m0n0wall :
m0n0wall 是一项针对建立一个完整的、嵌入式的防火墙软件包的计划,该软件包可以安装于嵌入式PC里, 提供所有商业防火墙的重要特性(包括易用性),而且价格只有商业防火墙几分之一(自由软件)。小型网络环境 m0n0就可以了  (m0n0的IPF状态表默认的是3W最大连接  若要修改的大些要重新编译内核)。
m0n0wal是基于FreeBSD系统的实现,利用ipfw+dummeynet来实现流量整形(好像也支持IPF)。同时实现了一套Web-based的管理系统。再加上集成了dhcpd,dnsmasq,racoon,usd-snmpd,ez-ipupdate等杂七杂八的东西,实现了DNS,DHCP,IPSec,VPN,TrafficShape功能,。整个系统的配置保存在一个XML文件当中。
m0n0wall可能是第一个启动时通过PHP配置的UNIX系统,这种结构胜于使用shell脚本。
4,pfsense:
pfSense是和m0n0wall非常相似功能更强的软件路由器。是在m0n0基础上开发的,功能有所增多.一般的设置完全一样。
派生这个分支的关键是作者希望有一个基于PF核心的包处理机制,于是就出现了pfsense,另外m0n0致力于嵌入式应用,多考虑在CF这种media上跑,力图把所有东西做在内存中运行,因此刻意裁减了很多东西,而pfsense就没有这方面的顾虑,所以加入了很多功能强大但同时可能占用较多内存和硬盘资源的玩意(pfsense的IPF状态表默认是10W连接),优点就是能实现更多样的功能,缺点就是硬件要求高,同时可能运行在会随时断电的环境下会出问题。
从FreeBSD系统以及其相应包处理机制的了解来看,IPFilter用作NAT应该是最稳定的,而PF在策略路由等高级路由控制方面是唯一的,其他方案都无相应实现,同时PF的NAT高效,但稳定性还需考验,问题多出现在状态表方面,需要有一些Debug的能力才能驾驭得好。在流量整形方面,无疑是ALTQ最为灵活和高效,而pf则是天生与ALTQ配合得好。
此外,RouterOS,也是比较有名的软路由软件,在用户群里面的评价是比较稳定的东东,但遗憾的是这是个商业产品。
阅读(2205) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~