Проект OPNsense (http://opnsense.org/), в рамках которого в январе этого года началось развитие форка дистрибутива для создания межсетевых экранов pfSense (https://www.pfsense.org/), объявил (https://opnsense.org/opnsense-version-15-7-released/) о выпуске релиза OPNsense 15.7. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются (https://github.com/opnsense/) под лицензией BSD. Готовые сборки подготовлены (http://sourceforge.net/projects/opnsense/files/15.7/) в форме LiveCD и системного образа для записи на Flash-накопители (213 Мб).Целью создания OPNsense является желание сформировать открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. При этом, в отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Из других отличий отмечается новый полностью открытый сборочный инструментарий, более жесткие критерии качества кода, возможность установки в форме пакетов поверх обычного FreeBSD, переписанный Captive Portal, перевод GUI на JavaScript-библиотеку Bootstrap и MVC-фреймворк Phalcon, повышенные требования к безопасности (GUI не должен вызывать операции, требующие root).
Среди возможностей (http://opnsense.org/about/features) OPNsense можно выделить средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков. Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.Выпуск OPNsense 15.7 примечателен формированием двух сборок дистрибутива - на основе OpenSSL и LibreSSL, при этом допустима бесшовная миграция между этими двумя вариантами. В дальнейшем, после окончательной стабилизации дистрибутива, останется только на LibreSSL. Другими важными улучшениями являются интеграция системы обнаружения атак Suricata (https://www.opennet.ru/opennews/art.shtml?num=39401) и новые опции для использования локальных и удалённых черных списков для блокировки трафика на прокси-сервере squid.
URL: https://opnsense.org/opnsense-version-15-7-released/
Новость: https://www.opennet.ru/opennews/art.shtml?num=42560
Идеи конечно хорошие, но от минимализма m0n0wall не осталось и следа.
>Идеи конечно хорошие, но от минимализма m0n0wall не осталось и следа.
>213 МбУ меня валяются где-то пару SD-шек по 16 МиБ, но это так, из разряда курьёзов.
Сомневаюсь, что вы найдёте более или менее современный накопитель, в который не поместится 200 МиБ.
А у меня TL-MR3020 на openwrt работает в качестве:
1. интернет гейта с файрволом
2. dns proxy
3. ssh прокси
4. vpn клиента
5. беспроводного принт-сервера
6. wifi AP
7. сетевой smb шары
В этом устройстве 1(один) мегабайт флеш-памяти.
новость_не_читай_коммент_оставляй. При чем тут pfsense и freebsd вообще, а?
Заметьте, пакет Quagga отсутствует.
Pfsense лучше.
openwrt лучше.
microtik не сильно хуже ))
В этом релизе напрочь отваливается DHCP сервер :-(
Мне кажется уже поздно для таких проектов. "Тазик на freebsd в качестве роутера" - порождение 2000х, и ныне вымирает. Сегмент "роутеры по 20$" - съел openwrt, у кого денег чуть побольше - mikrotik, "серверный" микротик, и б/у циски.Для home-use роутер "всё-в-одом", идут обычные писюки с убунтой/дебианом/..., под торренты, апач, iptv и т.д..
как раз наоборот, сейчас pfsense и иже с ним переживают золотой век: в любой приличной конторе новые сервера идут под виртуализацию, и шлюз крутится как ещё одна виртуалка, которая реплицируется на другой хост и, в случае факапа, разворачивается из бекапа за пару минут. дёшево, удобно, надёжно - всё в одном, идеально для тех у кого нет денег на б/у cisco. а вот по поводу мокротыков от комментариев воздержусь.
> в любой приличной конторе1) Квантор всеобщности
2) У "приличных" контор есть деньги на циску, и за колхоз из софтороутеров в критичном месте там бьют по рукам. Спорить будете?
спорить не буду, но бесплатно посоветую вам дотянуть хотя бы до ccna r&s и узнать, что внутри хард-роутеров и софт-роутеров одно и тоже, и трафик хард-роутеры обрабатывают софтово.
А ASICи там просто для красоты и обдирания несведущих, ага.
откуда вы такие вылезли? НИКОГДА в роутерах не используются асики, только в свитчах, пусть даже и L3. подтяните матчасть, не позорьтесь
Та ладна. А теперь, плиз, разницу между л3 свитчем и роутером.
У большинства реальных контор в регионах с оборотом от девяти до одинадцати нулей в инфраструктуре такой колхоз, что можно фильмы ужасов снимать. Во всяком случае практически во всех, с которыми я сталкивался. И циски там не у всех, и пфсенсы часты.
Мы говорили про "приличные" конторы, вообще-то. Про российские импортозамещающие реалии - отдельный разговор.
коллега, боюсь, местных "экспертов" не интересует ваш опыт. совсем недавно они поключили к интернету 15 компов в своей школе с помощью "элитного" микротика, который "не имеет аналогов за свои деньги" и теперь всё знают лучше всех, и за свитчи, и за роутеры.
> У большинства реальных контор в регионах с оборотом от девяти до одинадцати
> нулей в инфраструктуре такой колхоз, что можно фильмы ужасов снимать. Во
> всяком случае практически во всех, с которыми я сталкивался. И циски
> там не у всех, и пфсенсы часты.И таки да, там бывает таблички на дверях дороже стоят, чем вся скрверная. Подмена ценностей х!@#$..
>> в любой приличной конторе
> 1) Квантор всеобщности
> 2) У "приличных" контор есть деньги на циску, и за колхоз из
> софтороутеров в критичном месте там бьют по рукам. Спорить будете?Буду. Конторы бывают разные. Если мы говорим не о суровом энтерпрайзе - то там вполне может быть pSense, это уже ответственность и выбор админа. В циске очень многие задачи решаются много хуже чем на таком роутере, особенно если у нас - несколько каналов (и не bgp, а просто 2 провайдера), нестандартные задачи и требуется дофига всего и сразу. "деньги на циску" - это ваш какой-то колхозный йумор и винокур. Речь же не о затратах, а и о гибкости решения и его производительности. Гигабитные каналы не редкость, и очень часто софтроутеры будут молотить траф лучше чем SOHO железки от той же циски.
Ещё раз:> Мы говорили про "приличные" конторы, вообще-то. Про российские импортозамещающие реалии - отдельный разговор.
Ценность железного решения - в его достаточности по ресурсам и предсказуемости. У софтороутеров с ресурсами лучше, а вот с предсказуемостью - беда. И с временем поддержки беда. И с наличием персонала на рынке, достаточно квалифицированного, чтобы разобраться не только в, собственно, маршрутизации, но и набором уникальных тараканов конкретной оси софтороутера. Ну вот тупо нет их, админы локалхоста не в счёт.
> Если мы говорим не о суровом энтерпрайзе
50+ филиалов, своя AS... - это как, уже достаточно "суровый энтерпрайз"?
> нестандартные задачи и требуется дофига всего и сразу
...от роутера? Одна приличная железка на всю контору что-ли?
> очень часто софтроутеры будут молотить траф лучше
Бенчмарки, пруфы - в студию. Без них буду считать это предложение чьей-то влажной фантазией.
> чем SOHO железки
Ви таки определитесь, или вы говорите за SOHO-сегмент, или за реальное предприятие.
Давайте-ка названия приличных и колхозных контор в студию, а то ни о чем разговор. Про сферический ынтырпрайз в вакууме за пивом помечтаете с друзьями.
У нас в "приличных" стоят Микротики (в государственных типа РЖД нередки Цицки), и это считается ТруЪ. В остальных - ISA Server, Traffic Inspector, BSD, Linux И что БГ пошлёт. Ездил по всему городу, и гос. учреждениям, поддерживал 1 софтинку.
Город сибирский, милионник.
Колхозных - сам найдёшь, приличных - например "дочка" Феско - Феско Лайнз. Только что тебе это даст?
Аха. К дырам самого шлюзового софта навешать еще дыр специфичных для хоста виртуализации. Большей глупости я давно не видел.
> Аха. К дырам самого шлюзового софта навешать еще дыр специфичных для хоста
> виртуализации. Большей глупости я давно не видел.большей глупости не видели? - прочтите свой коммент. дыры в гипервизоре можно использовать только имея локальный доступ к одному из гостей, а "дыры шлюзового софта" вообще существуют только в вашем воспёленном сознании: фаервол, который тупо отбрасывает пакеты не может быть узявим.
Хосыди, какой Эпический Идилот :) С больших букафф :)
> фаервол не может быть узявим.Чиорт. А мужики-то не знали... iptables же тоже фаервол?
Значит я... Ох, чёрт! Неуязвим!!! )))
>> фаервол не может быть узявим.
> Чиорт. А мужики-то не знали... iptables же тоже фаервол?
> Значит я... Ох, чёрт! Неуязвим!!! )))не горячитесь так, идите лучше... свою винду переставьте, а то как вы в случае чего без винбокса то... можете заодно изучить статью в википедии (это ваш потолок и как следует разобраться в ведре вам точно не судьба) об iptables и узнать, что он - только морда (есть и другие, не одна и не две), а линуксовый фаервол называется netfilter.