ファイアウォールを実行するには、「カーネルでALTQサポートなし」を変更する必要がありますか?

ファイアウォールを実行するには、「カーネルでALTQサポートなし」を変更する必要がありますか?

私はちょうど私を台無しにしてpf.conf実行して、次のようにpfなりました。

Enabling pf.
No ALTQ support in kernel

確かに修理するカーネルを再コンパイルするだけです。しかし、その記事はfreebsd 7についてです。私はここにいるプリBSD 9.1

私は知りたいです:

  1. ALTQを有効にして再コンパイルする必要がありますか? freebsd刑務所の内外にトラフィックパスを変更するには、これを行う必要がありますか?
  2. 問題は解決しましたか?この記事FreeBSD 9.1で動作します。 OSの構築に一晩中時間を費やしたくないが、結局は何かが間違っているという事実を発見することになります!

答え1

私は何年も問題なくFreeBSDベースのファイアウォールを使用してきました。トラフィックを調整したくない場合は、それを修正する必要はないと言いたいです。つまり、私はそれを修正しません。

答え2

いいえ、freebsd刑務所にトラフィックを再ルーティングするためにALTQは必要ありません。私はpfを使用して外部IPからのトラフィックを私の刑務所が実行している静的IPにマッピングします。次のエントリは、インターネットからマイメールサーバーの刑務所にトラフィックを転送します。

ext_if="bce1"

lo_toaster = "127.0.0.6"
toaster    = "208.75.177.101"

nat on $ext_if from $lo_toaster   to any -> $toaster
rdr on $ext_if from any to $toaster      -> $lo_toaster

私にはこのような刑務所が何十もの設置されています。これは、パブリックIPを刑務所に割り当てるよりも明らかに複雑ですが、いくつかの良い利点があります。刑務所の公開IPを変更/追加/削除することができ、刑務所の内部には何も触れる必要はありません。 /etc/pf.confを編集すると完了です。刑務所の内部に何も触れることなく、ホスト間で刑務所を移動できます。ループバックアドレスで実行されるため、複数のサーバーで同時に刑務所を開始してテストし、ネットワークとファイアウォールのルールを更新してトラフィックを移動できます。

ずっと前に、私はALTQを使ってWindowsホスト上のポート25への接続を確立しましたが、非常に遅かったです(すべてのOS "Windows"で高速プロトタイプtcpを受信します...)。しかし、そうする利点は再構築する価値がありませんでした。手動カーネル。

関連情報