Solaris packet filtering hooks (pfhooks)
Solaris 10 防护墙 IP Filter 是基于 open source ipfilter 的。Sun 做了一些必要的有益的针对Solaris 的优化, 增加了一些 feature 比如完整的IPv6 的支持, IPv4/IPv6 pools, IPv6 fragment支持等)
在 Solaris 10 基于 STREAMS 的网络框架里, Solaris 防护墙是由两个内核模块 pfil + ipf 实现的。
这主要带来了两个问题:
1. 性能差.
2. 不能过滤 loopback traffic. 这个问题变得相当突出, 因为 Solaris container 之间的通信就是基于 loopback的。
pfhooks 是内嵌于TCP、IP, ARP 协议站中的, 这就很好地解决了这两个问题:
删除了 pfil, 提高了系统的性能; loopback 的 traffic 在经过 IP 的时候也可以经由 pfhooks 到 ipf 做过滤, 第二个问题得以解决。
更详细的说明请见 pfhook white paper.
