>[оверквотинг удален] >Слишком много точек входа в ядро, код перегружен и глючит. >Да, PF умеет фильтровать только IP-пакеты. Про Ethernet он ничего не знает, >по MAC-адресу им не зафильтруешь. Ну и пёс с ним. Зато >у PF есть таблицы. _Нормальные_ таблицы, обновляемые из User Land на >лету, и поиск по которым осуществляется по RADIX Tree, а не >по линейному списку. PF умеет якоря (anchors), и несколько программ, модифицирующих >правила пакетного фильтра, _никогда_ не подерутся. >Но пакетный фильтр -- это не то, за что идёт борьба на >роутере. На роутере идёт борьба за пакетную производительность. А она достигается >использованием либо ASIC'ов, либо NPU. Period. Знает PF об ethernet. Есть там возможность фильтровать по мас-адресам на основе политик. Возможно немного вас не допонял. Я о том?
|