nf-HiPAC: újabb nagyteljesítményű csomagszűrő Linuxra

Kernel

Az nf-HiPAC egy kereskedelmi támogatással rendelkező, GPL-es csomagszűrő a Linux kernelhez. A HIPAC egy új csomag-osztályozó keretrendszer, amely a honlap szerint fejlett algoritmusának köszönhetően csökkenti a szükséges csomagonkénti memória lookup-ok számát. Ebből kifolyólag ideális nagy ruleset-eket vagy nagy sávszélességet használók számára.

A nf-HIPAC a népszerű linuxos iptables-hez hasonlóan funkciókban gazdag. Az általa használt komplex csomag-osztályozó mechanizmust a felhasználók elöl jól elrejti az egyszerű, iptables-szel kompatibilis felhasználói interfész. Mivel a kezelése kompatibilis az iptables-szel, könnyen használható annak alternatívájaként.A felhasználóban felmerülhet a kérdés, hogy miért van szükség egy újabb csomagszűrőre. A nf-HiPAC honlapja szerint az iptables teljesítménye bizonyos körülmények között kivánnivalókat hagy maga után. A nf-HiPAC-nek (majdnem) mindegy, hogy hány szabályt állít fel használója. Több ezer szabállyal is gyorsabb, mint az iptables 20 szabállyal. Emellett a nf-HiPAC gyors, dinamikus ruleset frissítést alkalmaz, amely azt jelenti, hogy a csomag-osztályozás nem áll meg a frissítés idejére. Ezzel szemben az iptables (szintén a honlap szerint) rossz frissítési teljesítménye párosul a frissítési idő alatti csomag-osztályozás leállásával.

A nf-HiPAC-nek most jelent meg a 0.9.0-as verziója. A munka során a fejlesztők mindent portoltak a 2.6-os Linux kernelhez, és a kernelkód nagy részét újraírták. A kernel patch nem nagyon piszkálja a kernelt, mindössze egy egyszerű függvényt ad az ip_tables.c file-hoz, a többi funkciót különálló file-okban valósították meg a készítők.

A projekt mögött a MARA Systems AB áll kereskedelmileg.

A 0.9.0-ás verzió bejelentése itt. A projekt honlapja itt.

( trey | 2005. 09. 27., k – 16:27 )

A honlap ígéretei jólhangzanak. Ismeri valaki? Esetleg használja valaki élesben?

( bra | 2005. 09. 27., k – 16:31 )

Micskó Gábor wrote:
> Az nf-HiPAC egy kereskedelmi támogatással rendelkező, funkcióban gazdag,
> GPL-es csomagszűrő a Linux kernelhez. A HIPAC egy új csomag-osztályozó
> keretrendszer, amely a honlap szerint fejlett algoritmusának köszönhetően
> csökkenti a szükséges csomagonkénti memória lookup-ok számát. Ebből
> kifolyólag ideális nagy ruleset-eket vagy nagy nagy sávszélességet
> használók számára.
Hmm? Portolták Linuxra a pf-et? :)

Nagyjából annyit tudtam róla, mint ami a cikkben volt avval a különbséggel, hogy nem tudtam, hogy portolták 2.6-ra.

Az idei networkshopon adtunk elő Kadlecsik Józsival, és végeztünk pár mérést gigabites hálózaton. Többek momentum közt ennek a teljesítményét is mértük.

Most így online ezen a címen találtam meg némi guglizás után a zanyagot [people.netfilter.org].

Élesben meg ugye azért nem használom, mert opteronos szerveren 2.6-os kernelt érdemes használni, és mint írtam, _eddig_ nem tudtam róla, hogy 2.6-ra már portolták.

> Nagyjából annyit tudtam róla, mint ami a cikkben volt avval a különbséggel, hogy nem tudtam, hogy portolták 2.6-ra.

Mivel most jelentettek be, ezen nem is csodalkozom. :-)

> Többek momentum közt ennek a teljesítményét is mértük.

Ahogy neztem az eredmenyeket, nem allitanak valotlant. A ruleset-ek emelkedesevel rohamosan csokken az iptables josaga. Vagy csak nem tudok grafikont olvasni :-D

Neked is romlik a josagod ha 1 valami megcsinalasa nem 15 lepes hanem 15000... Ez (szerintem) nagyban tervezessel es address range/mask/bitmask tipusu megfeleltetesekkel tobb egymasra epuplo fw-al lehet segiteni... Megint 1 gep vs. sok gep kerdes valamint misztika. Nem baj hogy van ilyen sot orvendjunk, de en becsszo kerestem egy traverse diagrammot egy dekat nem lattam.

Dehogy hasznalom, most ismertem meg, szepen vegigolvastam, hianyolom a dokumentaciot, es a koncepcio magyarazatot.

Azt akartam irni, nem baj hogy van ilyen projekt ami segit, hogy rosszul tervezett/letrehozott szabalystruktura is jol mukodjon, de en azt mondom ha lehet ne egy gep vegezzen minden fwing feladatot, hanem elosztott fa strukturaban tegyek akar gagyipctm kategoriaban. A masik amit akartam irni, hogy a mostani kiterjesztesekkel konnyen elerheto 10000 gep fw-asa eseten is, hogy relativ kis szamu (kissebb mint 10) szabalyon menjen at a csomag az accept vagy a drop-ig.

:)

A világért sem akarok flamelni, de valaki össze tudná röviden foglalni, hogy mi az, ami miatt jobban szereti a pf-et például az iptables-nél? Mind hiányzó feature-ök listája, mind pedig a koncepciók különbségéből fakadó előnyök érdekelnének.

Köszönöm a linket. Sajnos ez nekem egy kicsit túl általános, konkrét tapasztalatokat szívesebben olvasnék olyanoktól, akik mindkét rendszert használták. (Nem találtam meg, hogy mikori ez az írás, de a benne levő tesztek finoman szólva nem mai darabok lehetnek.)

hidden wrote:
> Köszönöm a linket. Sajnos ez nekem egy kicsit túl általános, konkrét
> tapasztalatokat szívesebben olvasnék olyanoktól, akik mindkét rendszert
> használták. (Nem találtam meg, hogy mikori ez az írás, de a benne levő
> tesztek finoman szólva nem mai darabok lehetnek.)
OpenBSD 3.0-val készült, azaz 2001 környéki.

Az első release, amely pf-fel került kiadásra.