Ну и чтоб совсем никому не было обидно - FreeBSD

[dil]

FreeBSD ipfw IP Fragment Denial of Service Vulnerability

Comments

[titov.livejournal.com]

Так там же только шестерка affected

[dil.livejournal.com]

Ну да. И что?

[titov.livejournal.com]

Ее в production, мне кажется, пока мало кто использует.

[dmarck.livejournal.com]

Ага, наш Олежка обнаружил.

Ошибка эта есть на всех ветках, но только в HEAD и RELENG_6 приводит к панике.

[b-a-t.livejournal.com]

ipfilter/pf наше все :) Зачем вообще этого уродца оставили в 6-ке?

[dmarck.livejournal.com]

спорно. в ком из указанных есть loockup tables и sets? Мы ими активно пользуемся, и имеем 70 правил вместо 10k+

[b-a-t.livejournal.com]

Эээ... Я, конечно, не сильно знаком с ipfw фишками, но думаю, что то, что ты под tables подразумеваешь, есть в pf. И нету natd, который 50% ЦПУ жрет :)

[dmarck.livejournal.com]

Это типа

pipe 11728 ip from any to table(3,1728) out recv em1
fwd 127.0.0.1,8001 tcp from table(1,2) to any dst-port 80,443,3128,8080-8085,8100-8105 in

а в таблице пары cidr - value. lookup time по ней -- O(1). При том что там несколько тысяч строк. И таблиц таких - полтора десятка.

natd мы, разумеется, не используем. Пока ipnat, но он то еще глюкало, планируем переезд на ng_nat.

400Mbit+, 70+ kpps. amd64.

[b-a-t.livejournal.com]

Не то?

table persist file "/etc/spammers" file "/etc/openrelays"
block on fxp0 from to any

А ng_nat не libalias использует?

[dmarck.livejournal.com]

Быть может, можно посмотреть.

Да, libalias. Его glebius@ делает

[b-a-t.livejournal.com]

Ага, я в курсе. Но libalias - это, вроде, тот же natd. Так что разница невелика...

[dmarck.livejournal.com]

Неправда. Главная проблема natd -- 4 context switch'а на каждый натящийся пакет, плюс copyin/copyout, потому что работает в userland. ng_nat -- весь в ядре, и пакетов двигать ему не надо, только mbuf header копировать при необходимости.