web-dev-qa-db-ja.com

ファイアウォールを実行するには、「カーネルにALTQサポートがない」を修正する必要がありますか?

私はpf.confをいじってpfを実行しました。

Enabling pf.
No ALTQ support in kernel

もちろん fix はカーネルを再コンパイルすることですが、その記事はfreebsd 7向けです。私はFreeBSD 9.1

私は知りたいです:

  1. 本当にALTQを有効にして再コンパイルする必要がありますか? freebsd刑務所の内外にトラフィックを再ルーティングするためにそれを行う必要がありますか?
  2. この記事 の修正はFreeBSD 9.1に適用されますか?私はOSの構築に一晩中費やしたくないのですが、最後に何かがうまくいかなかったことがわかりました!!
4
gideon

私はこの特定の問題で何年もの間問題なくFreeBSDベースのファイアウォールを実行していました。トラフィックシェーピングを実行したくない場合は、修正する必要はありません。または別の言い方をすると、私はそれを修正しません。

6
wollud1969

いいえ、freebsd刑務所との間のトラフィックを再ルーティングするためにALTQは絶対に必要ありません。 pfを使用して、外部IPのトラフィックを刑務所が実行されている静的IPにマッピングします。次のエントリは、インターネットとの間でトラフィックをメールサーバーの刑務所に転送します。

ext_if="bce1"

lo_toaster = "127.0.0.6"
toaster    = "208.75.177.101"

nat on $ext_if from $lo_toaster   to any -> $toaster
rdr on $ext_if from any to $toaster      -> $lo_toaster

私はこのように何十もの刑務所を設置しています。刑務所にパブリックIPを割り当てるよりも明らかに複雑ですが、いくつかの素晴らしい特典が付属しています。刑務所のパブリックIPを変更/追加/削除でき、刑務所内の何にも触れる必要はありません。 /etc/pf.confを編集すれば完了です。刑務所内の何にも触れずに、ホスト間で刑務所を移動できます。それらはループバックアドレスで実行されるため、ネットワークとファイアウォールのルールを更新することで、複数のサーバーで同時にjailを起動し、テストしてからトラフィックを移動できます。

ずっと前に、私はALTQを使用してWindowsホストからポート25への接続を非常に遅くしました(任意のOS「Windows」からクイックプロトコルtcpを渡します...)が、そうすることの利点は再構築する価値がありませんカーネルを手動で。

2
Matt Simerson