[Freebsd] Тестирование projects/ipsec
Andrey V. Elsukov
bu7cher at yandex.ru
Thu Jan 12 19:23:58 EET 2017
Всем привет,
возможно не все пользователи этой рассылки читают freebsd@ мэйл листы,
поэтому на всякий случай пишу ещё сюда.
Некоторое время назад я занялся переработкой реализации IPsec в FreeBSD
с целью сделать код более пригодным для параллельной работы.
В результате появился проект, приняти участие в тестировании которого
хочу предложить вам.
https://lists.freebsd.org/pipermail/freebsd-current/2016-December/064050.html
Здесь примерно то же самое, но по-русски:
http://bu7cher.blogspot.ru/2016/12/projectsipsec.html
Т.к. тестирование идёт неохтно, я портировал изменения в stable/11:
https://lists.freebsd.org/pipermail/freebsd-net/2017-January/046888.html
Проще всего вытянуть исходники из git'а, но пока патч вроде бы
прикладывается на stable/11, если у вас есть исходники из svn, то для
прикладывания патча используйте "svn patch" или "svnlite patch".
Коротко о том что содержит патч:
1. Реализация SADB полностью переработана для ухода от эксклюзивных
блокировок. Теперь используются рефкаунты, шаред локи и хэш таблицы.
В связи с этим могло измениться поведение системы при поиске подходящей SA.
2. Т.к. переработана SADB, пришлось переделывать бОльшую часть
реализации PF_KEY. IKE демоны могут перестать работать как раньше.
3. Поддержка NAT-T переработана и теперь всегда включена. Удалён код UDP
инкапсуляции из начальных драфтов по NAT-T, теперь поддерживается только
вариант описанный в RFC. Теперь есть возможность
править/игнорировать/пересчитывать контрольные суммы для TCP/UDP в
транспортном режиме.
https://svnweb.freebsd.org/base?view=revision&revision=309808
4. Добавлен INPCB кеш для политик безопасности, это должно заметно
снизить оверхед для локальных сетевых приложений от наличия политик IPsec.
https://lists.freebsd.org/pipermail/freebsd-net/2015-April/042121.html
5. Появилась возможность загружать реализацию IPsec и TCP-MD5 в виде
модуля ядра. Для этого ядро должно быть скомпилировано с опцией
IPSEC_SUPPORT вместо IPSEC.
5. Добавлен новый виртуальный интерфейс if_ipsec(4), реализующий route
based IPsec.
https://svnweb.freebsd.org/base?view=revision&revision=309115
https://reviews.freebsd.org/P112
6. Ещё куча всего мелкого и незаметного на первый взгляд, но кто его
знает. Хотелось бы всётаки, чтоб народ попробовал хотя бы на своих
обычных конфигурациях, не сломалось ли, прежде чем мержить это базу.
--
WBR, Andrey V. Elsukov
More information about the freebsd
mailing list