Представлен NPF — новый межсетевой экран для NetBSD

В почтовой рассылке NetBSD был представлен новый межсетевой экран для этой операционной системы — NPF. Заявляется, что он ориентирован на высокую производительность на многопроцессорных системах и простую расширяемость.

NPF создан литовцем Миндаугасом Расюкевичусом (Mindaugas Rasiukevicius), а его разработку спонсирует организация NetBSD Foundation. Он стал третьим фильтром пакетов (packet filter) для NetBSD после IP Filter и PF. Одна из его уникальных характеристик — использование интерпретатора байт-кода в движке разбора пакетов.

Среди основных черт NPF выделяют:

• высокая производительность на многопроцессорных системах;
• быстрый поиск по хэш-таблице и красно-черному дереву;
• поддержка NAPT (Network Address Port Translation) и ALG (Application-Level Gateways), например, для traceroute;
• обработчик N-Code — движок обработки пакетов, созданный под вдохновением от BPF (Berkeley Packet Filter): его можно программировать на отбор пакетов с использованием общих инструкций в стиле RISC и некоторых инструкций, подобных CISC, для таких распространенных шаблонов, как IP-адрес;
• привычный синтаксис конфигурации и инструментов;
• модульность и расширяемость: расширять NPF можно путем загрузки модуля к ядру, разработчикам предоставлен специальный API для расширений, в правилах NPF предусмотрены хуки для вызова расширений.

Ожидается, что к концу января 2011 года NPF оснастят всеми возможностями, предоставляемыми другими фильтрами пакетов для NetBSD, а также документацией и примерами конфигурации. Единственное, чего будет не хватать, — поддержки IPv6. Разработчик ищет помощников и готов предоставить им техническую поддержку по реализации IPv6 в NPF.

Постоянная ссылка к новости: http://www.nixp.ru/news/10695.html. Дмитрий Шурупов по материалам mail-index.netbsd.org.