具封包過濾的橋接器

Nick Sayer

nsayer@FreeBSD.org

$FreeBSD: doc/en_US.ISO8859-1/articles/filtering-bridges/article.sgml,v 1.2 2001/07/11 13:00:12 nik Exp $

大多數的人並不知道,DSL和傳統連線方式的差異不只在於從牆壁出來接頭不同,還有無法使用封包過濾。如果使用T1或是其他類似的方式,通常有一台具有封包過濾的路由器。如果使用 ISDN 或撥接連線,通常也有軟體式的路由元件(最明顯的如PPP)可以執行過濾,或者在連線機器上也結合了過濾器。但使用 DSL,你只能看到一台白色小盒子,上面除了有幾個會閃爍的燈和連上網際網路的乙太網路插槽外就什麼都沒了。(其他市面上類似的高速連線方式,如 cable modems 和高速無線上網,或其他提供乙太網路連結埠而沒有過濾功能的技術,也適用於我要描述的作業方式。)

1 為什麼要使用具封包過濾的橋接器?

橋接(Bridging)並不是唯一可行的選擇,如果可以,比較好的方式是使用二台乙太網路機器作為路由器藉此取代橋接器。因為橋接器介面是以 promiscuous mode 方式運作,也就是說它必須處理所有進來的封包。但問題是,路由器只能遶送二個不同子網域的網路傳輸,而且子網域只能由經由切割一個存在的空間或定義一個通常無法遶送的新空間來產生(請參考 RFC 1918),這樣做浪費了另一半有用的位址(或者至少把它們放在路由器"錯"的一邊--指使內部網路安全的封包過濾)。而使用橋接器只要花費一些CPU的處理,就可以使增加第二台路由器所產生的問題消失。

    Next
    修改核心設定

This, and other documents, can be downloaded from ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

For questions about FreeBSD, read the documentation before contacting <questions@FreeBSD.org>.
For questions about this documentation, e-mail <doc@FreeBSD.org>.