contrib/ipfilter/todo

   1 BUGS:
   2 -----
   3 * fix "to <ifname>" bug on FreeBSD 2.2.8
   4 fastroute works
   5
   6 ===============================================================================
   7 GENERAL:
   8 --------
   9
  10 * use fr_tcpstate() with NAT code for increased NAT usage security or even
  11   fr_checkstate() - suspect this is not possible.
  12
  13 time permitting:
  14
  15 * load balancing across interfaces
  16
  17 * record buffering for TCP/UDP
  18
  19 * modular application proxying
  20 available
  21
  22 * allow multiple ip addresses in a source route list for ipsend
  23
  24 * complete Linux port to implement all the IP Filter features
  25 return-rst done, to/dup-to/fastroute remain - ip_forward() problems :-(
  26 on hold until rewrite
  27
  28 * add a flag to automate src spoofing
  29 done
  30
  31 * ipfsync() should change IP#'s in current mappings as well as what's
  32   in rules.
  33 done
  34
  35 * document bimap
  36
  37 * document NAT rule order processing
  38
  39 * add more docs
  40 in progress
  41
  42 3.4:
  43 XDDD. I agree. Bandwidth Shapping and QoS (Quality of Service, AKA
  44 traffic priorization) should be *TOP* in the TO DO list.
  45
  46 * irc proxy for dcc
  47 * Bandwidth limiting!!!
  48 * More examples
  49 * More documentation
  50 * And did I mention bandwidth limiting???
  51 * Load balancing features added to the NAT code, so that I can have
  52 something coming in for 20.20.20.20:80 and it gets shuffled around between
  53 internal addresses 10.10.10.1:8000 and 10.10.10.2:8000. or whatever.
  54 - done, stage 1 (round robin/split)
  55 The one thing that Cisco's PIX has on IPF that I can see is that
  56 rewrites the sequence numbers with semi-random ones.
  57
  58 I would also love to see a more extensive NAT.  It can choose to do
  59 rdr and map based on saddr, daddr, sport and dport.  (Does the kernel
  60 module already have functionality for that and it just needs support in
  61 the userland ipnat?)
  62
  63         * intrusion detection
  64                 detection of port scans
  65                 detection of multiple connection attempts
  66
  67         * support for multiple log files
  68                 i.e. all connections to ftp and telnet logged to
  69                         a seperate log file
  70
  71         * multiple levels of log severity with E-mail notification
  72                 of intrusion alerts or other high priority errors
  73
  74         * poison pill facility
  75                 after detection of a port scan, start sending back
  76                 large packets of garbage or other packets to
  77                 otherwise confuse the intruder (ping of death?)
  78
  79 * I ran into your solaris streams stuff and noticed you are
  80 playing with mblk's in an unsafe way.  You seem to be modifying the
  81 underlying datab without checking db_ref.  If db_ref is greater than one,
  82 you'll need to copy the mblk,
  83 - fixed
  84
  85 * fix up where manual pages go for Solaris2
  86
  87
  88 IPv6:
  89 -----
  90 * NAT is yet not available, either as a null proxy or address translation
  91
  92 BSD:
  93 * "to <if>" and "to <if>:<ip>" are not supported, but "fastroute" is.
  94 fixed.
  95
  96 Solaris:
  97 * "to <if>:<ip>" is not supported, but "fastroute" is and "to <if>" are.
  98