Интернет магазин китайских планшетных компьютеров

Компьютеры - Packet Filter - Архитектура

PF состоит из двух частей: собственно фильтра пакетов и утилиты pfctl, которая предоставляет интерфейс для управления межсетевым экраном. Фильтр полностью работает в контексте ядра операционной системы, взаимодействие с ним осуществляется через системный вызов ioctl. Поэтому pfctl, строго говоря, не является необходимой частью PF.

PF изначально не рассчитан на многопоточную обработку пакетов. С другой стороны, отсутствие блокировок положительно влияет на производительность.

Оптимизация

PF умеет пропускать ненужные проверки во время прохождения списка правил. Например, если два правила подряд относятся только к протоколу TCP, то пакет любого другого протокола, после того как не подойдёт к первому правилу, не будет проверяться на втором. Для этого сначала при составлении набора правил pfctl, зная наиболее оптимальный порядок проверок, может изменить взаимный порядок нескольких идущих подряд правил; затем подготовленный набор анализируется при загрузке в PF и для каждого правила составляется карта переходов по несовпадению того или иного параметра.

PF при оптимизации списка правил может также учитывать накопившуюся статистику частоты проверок для правил, и корректировать карту переходов в соответствии с этой статистикой.