sslug-teknik team mailing list archive

["Erwin S. Andreasen" <erw@xxxxxx>]

On Thu, 16 Sep 1999, Mark Holm wrote:

> Har lige haft kigget lidt nærmere på 2.3.x-serien af kerner og der ser
> det ud til, at ipchains bliver erstattet af noget nyt/andet. Er det
> rigtigt, og er der nogen, der har erfaringer med det i givet fald?

Det hele bliver erstattet af netfilter. Netfilter er mere generisk end de
foregående ipchains/ipfwadm. Dens mål er at flytte alle ting som fx
masquerading ind i filtrerne, så det eneste der er inde i kernen er kald
til de filtre. Lige nu er det sådan at der er masse kode rundt omkring i
kernen der bliver kompileret ind kun hvis man har masquerading.

Med det ny netfilter arkitektur vil man bare kunne insmod'e masquerading
modulet.

Endda IPSec kunne teoretisk set blive til et netfilter modul, blev der
nævnt under Rusty's foredrag på Linux-Kongress.

Der vil være bagudskompatibilitetsmoduler til ipchains/ipfwadm.

Netfilter moduler kunne, AFAIR, indsætte "hooks", altså vælge at få noget
kode kaldt, når en pakker først kommer ind, når man finder ud af at det er
en lokal pakke, når en pakke lokalt er lige lavet, når man skal vælge hvor
en pakke skal routes hen og endelig lige før en pakke kommer ud på nettet.

Du kan muligvis finde Rusty's slides fra kongressen et eller andet sted --
måske på netfilter's hjemmeside (brug google).


-- 
==============================================================================
Erwin Andreasen   Herlev, Denmark <erw@xxxxxx>          UNIX System Programmer
<URL:http://www.andreasen.org>              <*>              Goodbye, Richard!
==============================================================================