[FUG-BR] IPFW FWD em Bridge - Luiz Souza

Renato Frederick renato em frederick.eti.br
Sexta Outubro 4 13:28:44 BRT 2013 

Em 04/10/13 12:35, Patrick Tracanelli escreveu:
>
> Em 04/10/2013, às 11:56, Renata Dias <renatchinha em gmail.com> escreveu:
>
>> Patrick,
>>
>> Eu consigo rodar este mesmo patch
>> http://loos.no-ip.org:280/lusca_bridge.diff no 9.2-STABLE ?
> Renata, não consegue não. A partir do MFC do PFIL pro IPFW e bridge, alguma coisa quebrou (acho que a forma que os mbuff tags são marcados, não sei) e esse patch apesar de aplicar normalmente, com pouca mudança (so o path do ip_fw2.c saindo do netinet) não funciona mais.
>
> O MFC aconteceu em algum momento entre o 9.1-RELEASE e o 9.1-STABLE então se mantenha no 9.1-RELEASE-pX se precisa desse patch. O Loos comentou comigo que ia arrumar um tempo pra investigar o que quebrou exatamente que esse patch não funciona mais.
>
> Melhor que investigar/corrigir/gerarnovopatch é que agora com commit bit do src quem sabe ele não consiga commitar em definitivo ;-) Seria o ideal! :D
>
> Loos esse patch foi send-pr(1)? Se foi fala o PR # ai, se tiverem muitos aqui na lista que precisam desse patch sugiro que todos dêem follow-up em um possível PR pra ajudar a dar a importância devida ao patch e mostrar a importância dele entrar na base.
>
>
>
Mudando o papo.

Como fica a performance? Ambiente com vários pps e grande quantidade de 
Mb? Tipo um médio ou grande isp?

Já teve gente que se recusou a instalar thundercache em bridge devido a 
performance, tanto em linux quando bsd. Já tive gente que ao mesmo tempo 
vende appliance de cache de outros fabricantes que só funcionam em 
bridge, desligam o cabo que vai no router, poe a bridge e liga ela no 
router, usam ate aquelas placas que se desligar o appliance da energia, 
ela chaveia, de modo que se o appliance der algum problema, basta tirar 
da tomada...

Eu sempre evitei, até porque estes patchs me cansam de aplicar, ás vezes 
quebram na hora de aplicar, fica incompatível e prá mim uma bridge, que 
tem que analisar tudo que passa, seja ip, tcp, udp, ipsec, gre, sei lá o 
que mais, só prá fazer cache de um protocolo específico, é perda de 
dinheiro, onera demais a caixa.

Ao mesmo tempo, já precisei rodar uns ipfw faznedo count em bridge prá 
gerar gráficos de uso de protocolo junto ao cacti e funcionou, mas hoje 
prefiro rodar flow.

Patrick, os softwares  que vocês estão alugando que fazem a análise web, 
tem conceito de bridge? Ao mesmo tempo, muito cliente tem receio de 
tirar uma caixa cisco ou juniper ou mikrotik, ou sonicwall ou seja lá o 
que esteja rodando que faz firewall ou router e colocar um novo router 
bsd ou qq outra coisa que não conhecem. Neste caso, para análise de 
tráfego online, uma bridge fica perfeita, até o cara obter confiança e 
permitir usar a caixa de novo como router.

Mais detalhes sobre a lista de discussão freebsd