>Например, у вас два канала: быстрый лимитный и медленный безлимитный. По быстрому
>пускаете SSH, DNS, ещё что-нибудь; по медленному — всё остальное: setfib и никаких гвоздей.
>Или, скажем, чтобы траффик извне, приходящий на некий интерфейс, уходил обратно на
>него, а не на шлюз по умолчанию:
setfib
>А ещё pf умеет перебрасывать пакеты между доменами роутинга… Ой, я и
>забыл, во фряхе ж их нет. :-P
есть.
>pf не пытается делать чужую работу. L5-L7 — по определению для специализированных
>приложений. Вы ещё SOAP предложите в ядре разбирать.
это как раз его работа и гонять в юзерспейс данные на каждый чих крайне плохо.
цитата:
PF разрабатывается в рамках проекта OpenBSD. Во фрю его только портируют. Я как-то интересовался позицией разработчиков PF по поводу PPTP и прочих несовместимых с NAT вещей. Они считают, что такой трафик нужно проксировать через юзерлэнд-демоны. О производительности там думают в последнюю очередь, главное "безопасность" и вылизанные исходники.
:конец цитаты.
взято тут http://forum.nag.ru/forum/index.php?showtopic=55025&st=780&p...
>>если сам он не масштабируется с ростом числа процессоров
>Вы производительность pf с ipfw измеряли? На нормальном, рабочем ruleset'е.
я измерял. аж плакать хочется. 4 ядра, 1 загружено - остальные простаивают. и при этом тихо дропаем трафик.
>На какой загрузке у вас затыкается pf (не OpenBSD)? Узкой нишей я
>бы его не торопился называть. Скорее уж фаервол (в смысле программно-аппаратный
>комплекс целиком), которому одного ядра не хватает, есть нишевая система. :-P
ага. попробуйте стерминировать 2k pppoe клиентов, попутно порезав им скорость до тарифной + тривиальные фильтры от спамботов и червяков.