Доступен (https://blog.pfsense.org/?p=2008) выпуск компактного дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.3 (http://pfsense.org). Дистрибутив основан на кодовой базе FreeBSD 10.3 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно (https://www.pfsense.org/download/) несколько образов для архитектур i386 и amd64, размером от 300 до 350 Мб, включая LiveCD и образ для установки на USB Flash.Управление дистрибутивом производится через web-интерфейс. Для организации выхода пользователей в проводной и беспроводной сети может быть использован Captive Portal, NAT, VPN (IPsec, OpenVPN) и PPPoE. Поддерживается широкий спектр возможностей по ограничению пропускной способности, лимитирования числа одновременных соединений, фильтрации трафика и создания отказоустойчивых конфигураций на базе CARP. Статистика работы отображается в виде графиков или в табличном виде. Поддерживается авторизация по локальной базе пользователей, а также через RADIUS и LDAP.
<center><a href="https://i.imgur.com/aARkYcYl.jpg"><img src="https://www.opennet.ru/opennews/pics_base/0_1460529972.jpg&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
Основные новшества (https://doc.pfsense.org/index.php/2.3_New_Features_and_Changes):
- Системные компоненты переведены c PBI на использование пакетного менеджера pkg, который теперь задействован для обновления всех составных частей дистрибутива, в том числе для обновления всей системы (ядро и базовая система оформлены в виде пакетов). Переработана система сборки дистрибутива;- Web-интерфейс переписан с использованием фреймворка Bootstrap (http://getbootstrap.com/) и унифицирован для комфортной работы как на настольных системах, так и на мобильных устройствах. Полностью изменён внешний вид, в виджетах более активно задействована технология AJAX.
<center><a href="https://i.imgur.com/N7e6WP3l.jpg"><img src="https://www.opennet.ru/opennews/pics_base/0_1460529999.jpg&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
- Переработана система формирования RRD-графиков, для отрисовки которых задействована библиотека D3 (https://d3js.org/). Сами графики перемещены в меню "Status > Monitoring".<center><a href="https://i.imgur.com/8a1tm0vl.jpg"><img src="https://www.opennet.ru/opennews/pics_base/0_1460532981.jpg&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
- В интерфейс управления правилами пакетного фильтра и NAT добавлена возможность изменения порядка следования правил через их перемещение мышью в режиме drag&drop. Расширены возможности по настройке правил 1:1 NAT. Более наглядно (https://redmine.pfsense.org/attachments/download/1507/rule_s...) выделены разделители блоков. На странице "Diagnostics > States" обеспечено отображение статистики по пакетам и трафику для каждого состояния;<center><a href="https://i.imgur.com/d9bRr8cl.jpg"><img src="https://www.opennet.ru/opennews/pics_base/0_1460533044.jpg&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
- Расширены возможности интерфейсов для настройки VLAN, сетевых мостов и динамического DNS;
- В качестве http-сервера для организации доступа к web-интерфейсу и Captive Portal вместо lighttpd задействован nginx;
- Вместо inetd задействован xinetd;
- Обновлены версии программ: базовая система обновлена до FreeBSD 10.3-RELEASE, PHP обновлён до версии 5.6, dhcpd до 4.3.3P1, strongSwan до 5.4.0;- Из состава удалён сервер PPTP. В настройки L2TP добавлена опция для включения MS-CHAPv2. В сервер PPPoE добавлен подсчёт числа входов пользователя;
- Прекращена поддержка WEP и улучшены настройки беспроводных соединений;- По умолчанию для хэширования паролей задействован алгоритм bcrypt;
<center><iframe src="https://player.vimeo.com/video/160799487" width="500" height="265" frameborder="0" webkitallowfullscreen mozallowfullscreen allowfullscreen></iframe></center>URL: https://blog.pfsense.org/?p=2008
Новость: http://www.opennet.ru/opennews/art.shtml?num=44235
Интересно, хоть в одном Юниксе(Linux,FreeBSD,Solaris и тд) есть двухсторонний фаревол? В Винде(есть в Window Vista и старше, точнее моложе) он называется "брандмауэр в режиме повышенной безопасности". Это когда можно добавить правила для исходящих соединений, что таким-то программам можно в сеть выходить, а всем остальным программам на этом компьютере нелья. Были какие-то намётки привязки программ к правилам брандмауэра в iptables и selinux, но кажется всё умерло так и не родившись.
https://www.google.ru/#newwindow=1&q=linux+application+firewall
Как на роутере узнать, какая программа генерирует траффик ? Мы же не про локальные фаерволы говорим, да ?
Я про хостбазед фареволлы говорил, если таких в Линуксе нет, то любая программа запущенная от пользователя может слить данные куда-нибудь в любой компании. Это ненормально, когда любая программа имеет доступ в сеть после установки, тот же Firefox кучу всего шлёт в Интрнет, а уж сколько всего ненужного шлёт виндовс...
А так разрешил выходить в сеть только одной программе и порядок...
Если уровнят предприятия фаереволлы так умеют контролировать на уровне приложений, то вообще отлично.
Во фряхе: создаешь группу для 'программы'.
Вписываешь в ipwf разрешающее правило для gid данной группы.
Запускаешь 'программу' через sudo -g имя_группы.
> Я про хостбазед фареволлы говорил, если таких в Линуксе нет, то любая
> программа запущенная от пользователя может слить данные куда-нибудь в любой компании.
> Это ненормально, когда любая программа имеет доступ в сеть после установки,
> тот же Firefox кучу всего шлёт в Интрнет, а уж сколько
> всего ненужного шлёт виндовс...
> А так разрешил выходить в сеть только одной программе и порядок...
> Если уровнят предприятия фаереволлы так умеют контролировать на уровне приложений, то вообще
> отлично.вы мыслите как истинный виндузятник - "я найду кнопку, нажму, и все станет за^Wшибись".
вы путаете политику обеспечения безопасности (как концепцию) и фаервол (как инструмент) - это как бы узколобо очень.
Не надо на человека наезжать за то что он любит "удобно". Он прав-такого решения нет,есть сигнатурные костыли,есть,конечно, и Anfd и AppArmor,но нормального полноценного решения как в сотнях виндовых нет. Еще рекламировали год назад douane,но у него такой стремный для чтения код,что лучше подождать пока кто-нибудь авторитетный проверит.
> Не надо на человека наезжатьDmA, залогинтесь
>DmA, залогинтесьпаранойя?!
С чего вы взяли, что SELinux умер? Запрещайте и разрешайте запуск программ и доступ для них. Есть CLI и GUI. Suse и Ubuntu юзают AppArmor, вроде легче для понимания, чем SELinux и работает в автоматическом режиме, как в Windows.
> С чего вы взяли, что SELinux умер? Запрещайте и разрешайте запуск программ
> и доступ для них. Есть CLI и GUI. Suse и Ubuntu
> юзают AppArmor, вроде легче для понимания, чем SELinux и работает в
> автоматическом режиме, как в Windows.я не про SELINUX, я знаю что оно не умерло, я про возможность контролировать у приложений доступ к сети: Этим разрешено, а этим нет.Была какая-то возможность такую вещь контролировать и у Selinux , вот только куда-то делось.
Если бы такая возможность имелась в iptables или SELinux, то об этом наверняка писалось в к документации к дистрибутивам fedora и rhel, а там ничего про такие возможности нет.
Такая возможность в SELinux есть точно, во FreeBSD можно по uid, gid, jail_id в ipfw + https://www.freebsd.org/cgi/man.cgi?query=mac&sektion=4&apro... (система имеющая общее с SELinux и позволяющая реализовывать политики доступа в т.ч. программ в сеть).
В iptables когда-то давно даже была такая экспериментальная опция, но её потом быстро убрали. Согласен, полезная вещь.
Отличное подели, помню, заказчик очень хотел найти простую альтернативу Cisco ASA 5505, и даже заложил бюджет на кластер из двух Cisco ASA с лицензиями. Вовремя я появился и заменил все на pfSense 2.1, моржа у меня была колоссальная! Даже задонатил немного им на развитие.
"моржа колоссальная" а пингвина минимальная
> Отличное подели, помню, заказчик очень хотел найти простую альтернативу Cisco ASA 5505,
> и даже заложил бюджет на кластер из двух Cisco ASA с
> лицензиями. Вовремя я появился и заменил все на pfSense 2.1, моржа
> у меня была колоссальная! Даже задонатил немного им на развитие.что это за заказчик, который знает про Cisco ASA 5505, но не знает про всякие дистрибутивы Linux и FreeBSD? прям лох какой-то
Это вам так кажется, что все про всё знают! 50% заказчиков думают, что сети строятся только на оборудовании Cisco. Я говорю о мелком - среднем сегменте.
>> Отличное подели, помню, заказчик очень хотел найти простую альтернативу Cisco ASA 5505,
>> и даже заложил бюджет на кластер из двух Cisco ASA с
>> лицензиями. Вовремя я появился и заменил все на pfSense 2.1, моржа
>> у меня была колоссальная! Даже задонатил немного им на развитие.
> что это за заказчик, который знает про Cisco ASA 5505, но
> не знает про всякие дистрибутивы Linux и FreeBSD? прям лох какой-тоДействительно лох, если пытались впарить 5505 да ещё и в кластер.. Тут такому поставили панас NCP вместо NS по такому же принципу, правда как говорится на каждую хитрую..., пришлось ребятам "убить своего моржа" дополнительной платой, ибо контракт.
>моржаТот момент, когда хотел блеснуть знанием экономики, а блеснул незнанием орфографии.
facepalm.gif
40 тыс рублей?
радикальные перемены, пожалуй подожду следующей версии.
The best, имхо
802.11n хоть как-то поддерживает? Или на дворе по-прежнему 2005 года как и в материнской FreeBSD?
> 802.11n хоть как-то поддерживает? Или на дворе по-прежнему 2005 года как и
> в материнской FreeBSD?И как оно, с необновленной методичкой?
commit 3569e353ca63336d80ab0143dd9669b0b9e6b123
Author: sam <sam@FreeBSD.org>
Date: Sun Apr 20 20:35:46 2008 +0000
+.It Li H
+High Throughput (HT).
+Indicates that the station is using HT transmit rates.
+.It Cm ht
+Enable use of High Throughput (HT) when using 802.11n (default).
+The 802.11n specification includes mechanisms for operation
+on 20MHz and 40MHz wide channels using different signalling mechanisms
+than specified in 802.11b, 802.11g, and 802.11a.
+Stations negotiate use of these facilities, termed HT20 and HT40,
+when they associate.
+To disable all use of 802.11n use
+.Fl ht .
+To disable use of HT20 (e.g. to force only HT40 use) use
+.Fl ht20 .
+To disable use of HT40 use
+.Fl ht40 .
commit 34a2b415372b0605c10b45a882f9bae8413a6e41
Author: sam <sam@FreeBSD.org>
Date: Wed Jun 10 03:35:40 2009 +000+Supported features include 802.11n, power management, BSS,
+and host-based access point operation modes.
+All host/device interaction is via DMA.+Devices support 802.11n, 802.11a, 802.11g, and 802.11b operation with
+transmit speeds appropriate to each.
+The actual transmit speed used is dependent on signal quality and the
+.Dq "rate control"
>> 802.11n хоть как-то поддерживает? Или на дворе по-прежнему 2005 года как и
>> в материнской FreeBSD?
> И как оно, с необновленной методичкой?Нормально с необновляемой методичкой в 2016 году. Неужто такая большая радость - в 2016 году в FreeBSD появились признаки поддержки 802.11n? Это победа, я щитаю. Если не вспоминать о том, что она начальная и пытается работать на двух-трех устаревших чипах.
Кстати, когда-то пользовал pfsense. Остались впечатление, что это громоздкое со специально запутанным веб-интерфесом чучело. Неудивительно, что его авторы выбрали в качестве основы FreeBSD, раз у них такие извилисто-выворотистые мозги.
Как только у меня появилась потребность в беспроводных сетях и некоторых более сложных технологиях, это чучело было снесено. С тех пор, лишь прочитав в описании продукта слово "FreeBSD", сразу захлопываю эту урну.
Читай внимательнее, урнозахлопыватель:Date: Sun Apr 20 20:35:46 2008 +0000
Какой 2016-й год. Не нравится - не пользуй, что ты тут раскричался. Никто тебе лично ничего в FreeBSD не должен. В pfSense тоже.
>Неужто такая большая радость -
> в 2016 году в FreeBSD появились признаки поддержки 802.11n?Author: sam <sam@FreeBSD.org>
Date: Sun Apr 20 20:35:46 2008 +0000
Author: sam <sam@FreeBSD.org>
Date: Wed Jun 10 03:35:40 2009 +000
Author: sam <sam@FreeBSD.org>А знает ли Великий, в чем прикол?
https://www.freebsd.org/doc/en/articles/contributors/contrib...
Sam Leffler <sam@FreeBSD.org> (2002 - 2010)
https://github.com/torvalds/linux/search?utf8=%E2%...
> +Supported features include 802.11n, power management, BSS,
> +and host-based access point operation modes.
> +All host/device interaction is via DMA.а как там с 802.11ac?
про что-то более-менее интересное с фильтрацией спрашивать не буду, очевидно что не умеет.
Блин, фаервол на 350МБ. Дожили.
Фаервол с пхп и бутстрапом.
ipfire 160мб..
у него клинило прокси с включенной антивир. проверкой года 2-3 назад.
А ещё 1 гибибайт памяти (и той, и другой) в требованиях. Плохо сделали, не нужно.
просто отставлю это здесь http://www.freesco.org/index.php?id=o
> просто отставлю это здесь http://www.freesco.org/index.php?id=oЖив ли? Version 0.4.5 (2014-03-30) http://freesco.sourceforge.net/
Cisco IOS XR уже за два гига перевалил и это без ПХП :)
кстати, оказывается продаются железки с предустановленным pfSense, вот например:
https://de.allyouneed.com/de/~varia-group/pfsense-komplettsy...
Там внутри одноплатник Alix 2d13 с процом х86. У меня на такой обычная FBSD.
Внезапно pfsense не благотворительная организация и продаёт железо и поддержку https://www.pfsense.org/products/ .
Хороший софт. Только в путь утилизировать старьё на фаеры для мелочи.
У меня с ним только две проблемы:
- (мелкая) после добавления сетевых карт - оно их перенумеровывает 8-) Но так как у меня все ходы записаны (MAC), не смертельно ...
- Со всем что после 2.2.4 не работает яблочный (OSX) встроенный VPN клиент (ipsec). Шоу-стоппер для меня, у нас дезигнеры и прочие кисо юзающее ябблы любят работать из дому ...
Попробую конечно этот новый релиз сбоку от продакшена. А вдруг ...
> - Со всем что после 2.2.4 не работает яблочный (OSX) встроенный VPN
> клиент (ipsec). Шоу-стоппер для меня, у нас дезигнеры и прочие кисо
> юзающее ябблы любят работать из дому ...
> Попробую конечно этот новый релиз сбоку от продакшена. А вдруг .на маке можно воспользоваться https://tunnelblick.net/
В новой версии нет пакета BIND DNS Server.
