具封包过滤的桥接器

Nick Sayer

nsayer@FreeBSD.org

$FreeBSD: doc/en_US.ISO8859-1/articles/filtering-bridges/article.sgml,v 1.2 2001/07/11 13:00:12 nik Exp $

大多数的人并不知道,DSL和传统联机方式的差异不只在于从墙壁出来接头不同,还有无法使用封包过滤。如果使用T1或是其它类似的方式,通常有一台具有封包过滤的路由器。如果使用 ISDN 或拨接连线,通常也有软件式的路由组件(最明显的如PPP)可以执行过滤,或者在联机机器上也结合了过滤器。但使用 DSL,你只能看到一台白色小盒子,上面除了有几个会闪烁的灯和连上因特网的以太网络插槽外就什么都没了。(其它市面上类似的高速联机方式,如 cable modems 和高速无线上网,或其它提供以太网络连结端口而没有过滤功能的技术,也适用于我要描述的作业方式。)

1 为什么要使用具封包过滤的桥接器?

桥接(Bridging)并不是唯一可行的选择,如果可以,比较好的方式是使用二台以太网络机器作为路由器藉此取代桥接器。因为桥接器接口是以 promiscuous mode 方式运作,也就是说它必须处理所有进来的封包。但问题是,路由器只能遶送二个不同子网域的网络传输,而且子网域只能由经由切割一个存在的空间或定义一个通常无法遶送的新空间来产生(请参考 RFC 1918),这样做浪费了另一半有用的地址(或者至少把它们放在路由器"错"的一边--指使内部网络安全的封包过滤)。而使用桥接器只要花费一些CPU的处理,就可以使增加第二台路由器所产生的问题消失。

    Next
    修改核心设定

This, and other documents, can be downloaded from ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

For questions about FreeBSD, read the documentation before contacting <questions@FreeBSD.org>.
For questions about this documentation, e-mail <doc@FreeBSD.org>.