Wird Netmap Bridging brechen ipfw Regel auf FreeBSD

Question

Ich arbeite an der Einrichtung einer Netmap aktiviert (Hochleistungs-Bridging-Firewall).

Die Frage ist, wenn ich netmap Bridging-Tools verwenden, um em0 und em1, zu überbrücken und IPFW-Regeln zu blockieren einige Arten Verkehr auf einem em0, wird es funktionieren?

das Kernel-Bridging funktioniert gut mit ipfw, aber es ist langsam (nicht netmap aktiviert), meine Sorge ist, wenn es die Firewall-Regeln kurz umkreist, wenn ich auf die Implementierung schauen, tut es nichts über Paketfilterung, nur einmal empfangenen Pakete em0 wird diese unverzüglich an die EM1

die Netmap Überbrückung Tools ist bridge.c

Answer 1

https://www.freebsd.org/cgi/man.cgi?query=netmap&sektion=4

Während ein NIC in Netmap-Modus, wird das Betriebssystem immer noch glauben, die Schnittstelle läuft und läuft. Von einem Betriebssystem erzeugte Pakete für diese NIC enden in einem Netmap-Ring und ein anderer Ring wird verwendet, um Pakete in den OS-Netzwerkstapel zu senden. Ein close (2) für den Dateideskriptor entfernt die -Bindung und setzt die Netzwerkkarte in den normalen Modus zurück (den Datenpfad wird erneut mit dem Host-Stack verbunden) oder zerstört den virtuellen Port.

NICs without native support can still be used in netmap mode through emu- 
lation. Performance is inferior to native netmap mode but still signifi- 
cantly higher than sockets, and approaching that of in-kernel solutions 
such as Linux's pktgen. 

PS:

Sie mit ng_ipfw + ng_bridge Überbrückung und Filterung tun - es ist eine schnelle Kernel-basierte Lösung