在OpenWRT的防火墙设置中启用软件流卸载是否很危险？

Question

首先，我已经在OpenWrt论坛上问过这个问题了，我想也许这里有人知道这个问题。

我注意到，当这个功能没有启用时，我的互联网速度就会受到限制，这个功能也被标记为实验性的，是否知道它实际上做了什么，以及它是否具有任何安全含义？

我尝试过谷歌搜索，这似乎是一个相当新的特性，缺乏文档。

OpenWRT Wiki不包含任何关于这个新特性的内容，这个新特性是在19.03固件中引入的。

我刚刚发现，这个术语是OpenWRT的别名，它是用于做同样事情的专有技术，但我没有发现任何信息，因此这项研究显然没有给我带来任何进展。

是的，我知道这个实验特性与QoS和SQM不兼容，但我并没有真正使用它(源代码：https://forum.openwrt.org/t/software-flow-offloading-implications/90957 )

Answer 1

Flow卸载是一般而言的一种快速路径，可以绕过大多数Linux堆栈中已经跟踪的流，从而提高NAT在其他不足的硬件上的性能。人们可能会认为，由于数据包遍历不同的、可能不那么仔细的代码路径，可能会产生潜在的安全影响，但这并不是一个自动的问题。

最糟糕的情况是，代码中存在允许系统受损的内存损坏漏洞，或者存在允许数据包绕过规则的逻辑漏洞。如果没有安全代码检查，这只是纯粹的推测。