Подготовлен (https://opnsense.org/opnsense-18-1-released/) выпуск дистрибутива для создания межсетевых экранов OPNsense 18.1 (https://opnsense.org), который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются (https://github.com/opnsense/) под лицензией BSD. Сборки подготовлены (http://mirror.ams1.nl.leaseweb.net/opnsense/releases/mirror/) в форме LiveCD и системного образа для записи на Flash-накопители (211 Мб).
Среди возможностей (http://opnsense.org/about/features) OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков. Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.
В новой версии:
- Системные компоненты обновлены до FreeBSD 11.1 (https://www.opennet.ru/opennews/art.shtml?num=46920) с интеграцией дополнительных патчей от проекта HardenedBSD (https://www.opennet.ru/opennews/art.shtml?num=43784) для повышения защищённости;
- Web-интерфейс переведён на использование PHP 7.1 и jQuery 3. Улучшена реализация вкладок и оптимизировано размещение элементов на странице. Операция выбора типа интерфейса перемещена в меню. Добавлен быстрый поиск правил межсетевого экрана, DHCP и состояния беспроводной сети. На использование MVC-фреймворка переведены интерфейсы настройки маршрутизации и просмотра текущих логов межсетевого экрана, которые теперь также доступны через API;- Добавлена возможность подключения плагинов ля управления правилами трансляции адресов (NAT);
- Обеспечена возможность применения NAT до IPSec;
- Драйвер для сетевых адаптеров Realtek обновлён до версии 1.94;l
- В OpenVPN и IPsec добавлена возможность ограничения локальных групп;
- Добавлена возможность указания нескольких серверов OpenVPN (несколько опций "--remote") для соединения с первым доступным;
- Улучшена работа системы кэширования в web-прокси;
- Добавлена поддержка новых наборов правил (ET Pro, Snort VRT) для генерации предупреждения об обнаружении вторжений;
- Переработан плагин на базе HAProxy
- Добавлены новые плагины для использования антивируса, системы блокирования спама, почтового сервера и прокси (zerotier, mdns-repeater, collectd, telegraf, clamav, c-icap, tor, siproxd, web-proxy-sso, web-proxy-useracl, postfix, rspamd, redis, iperf, arp-scan, zabbix-proxy, frr, node_exporter);
- Добавлен API для запроса обратных записей в DNS для отчётов Insight и Live Log.
URL: https://opnsense.org/opnsense-18-1-released/
Новость: https://www.opennet.ru/opennews/art.shtml?num=47985
Pfsense получше будет.
Чем?
Функционалом в первую очередь.
А еще кривизной. Да-да-да, дорогой анонимус, УТВР, мы в курсе.
Pfsense уже и по функционалу отстаёт.
А про некоммерческую поддержку там вы совсем забудьте! Документация в OPNsense намного лучше.
Я сравнивал OPNsense и PFsense. В первом у меня так и не взлетела аутентификация в лдап. А во втором - все в порядке.
Может кто-нибудь объяснить простым языком - что такое "дистрибутив для создания межсетевых экранов"? Знаю Firewall, на локалхосте немного iptables ковыряю. Хочу понять для чего вот эти дистрибутивы нужны, где применяются.
Для тех, кто не умеет или устал ковырять таблетку.
иными словами - для тех, кто привык в мастдае щёлкать мышкой и не переносит консоль
Подскажите, добрый человек, как в консоли графики текущей загрузки оборудования и сетевых интерфейсов посмотреть?
iptraf-ng
да клевая штука ;)
https://github.com/yaronn/blessed-contribКто ищет, тот всегда найдет.
>иными словами - для тех, кто привык в мастдае щёлкать мышкойА типо в линуксах - по другому? :-р
Но ответ - да, для тех кто хочет мышой ...
>и не переносит консольНе обязательно. Просто не на каждый день\чих.
Вы же гордитесь что пингвинов можно нынче без консоли рулить, а чем файволл хуже? Его тоже - можно!
Я во многих местах юзаю psSense и иногда приходится зайти по ssh и всем нарезать (как тот лесник :-D ), но обычно веб-междумордия хватает :)
Для тех, кому нужен рутер нормальный. Долго искал всякое, в итоге стоит пфсенс, который на старом для утилизации железе умеет всё, что нужно конторе.
Подскажите, в OPNSense есть MultiWAN?
До этого пробовал настраивать Pfsense, во общем все нравиться,
думаю попробовать OPNSense.
> Подскажите, в OPNSense есть MultiWAN?
> До этого пробовал настраивать Pfsense, во общем все нравиться,
> думаю попробовать OPNSense.Да, но как и в PFSense есть нюансы.
Но в wiki у них все подробно описано.
> во общемВау, анонимы выходят на новый уровень неграмотности! Такого варианта написания я ещё не видел.
> все нравиться
Ну а это уже банально. Надо было через твёрдый знак писать.
Использую PfSense. Есть у него глюки со squid, а точнее с опцией bypass proxy для списка адресов. При указании адресов для выхода в инет, минуя прокси происходит такая милая штука, что всей сети открывается полный доступ.
ребята, скажите есть кто использовал один из этих дистров для создания 4G шлюза? есть ли проблеммы с подхватыванием усб свистка или проблеммы с дополнительным питанием для него? ну и насколько такая связка стабильна и иммет ли вообще смысол? Спасибо!
> ребята, скажите есть кто использовал один из этих дистров для создания 4G
> шлюза? есть ли проблеммы с подхватыванием усб свистка или проблеммы с
> дополнительным питанием для него? ну и насколько такая связка стабильна и
> иммет ли вообще смысол? Спасибо!питание для юсб зависит от ммм драйверов и самой материнской платы, в линуксе у меня питания на порты клавиатуры Г15 логитеч не хватало, в бсд не пробовал, опять таки проблема проявилась только в новых ядрах и то из-за каких то там конфликтов, надо править DSDT таблицу, а опции граба не помогают, никакие вообще даже по всем докам ядра прошвырнулся, попробовал все примерно нифига. Под 7й форточкой все работало на ура, и глубокий (те не очень) S3 и S1 под линухом 4.14.15-1 нифига не работает, есть опции ядра для обхода этого дела, но это я уже о своем тут начал.
Насчет донглов для йота донгла питания хватало даже у дир-320 длинка с официальной прошивкой от МТС или подобной от длинка для донглов, сабж юзал на миниИТХ GA-D510 UD старенькой проблем с юсб тамошними вроде не было. А вот на стационаре с юсб все плохо, там нвидиа чипсеты, хз как это соотносится, но интеловские вроде получше были...так на нвшных чипах практически всегда испытывал проблемы на матери striker ii nse и скорость юсб 2.0 сбрасывалась до 1.1 или 1.0...зависимости от кол-ва подключенных устройств не наблюдал. Как повезет в общем.
По сабжу OPNSense поинтересней проект, но кому как опять же. Я ждВалЪ этого проекта долгие годы, но пока дд-врт на 320й залил...;) просто задолбало включать и выключать миниИТХ либо держать его включенным когда не используешь. А роутер потерю питания все таки переносит легче и грузится быстрее.
Чем оно лучше микротика?
без понятия, юзал ток пфсэнс, это и дд-врт и чутка опен-врт и прошивку от Олега на старом асусе или дир-320.
> Чем оно лучше микротика?микротик же дохлый или обновляется? open-wrt тут с lede сдружились, следующий open-wrt обещает быть круче ;), дд-врт вон в сентябре 2017 даже на старый дир 320 обновить прошу умудрились, юзаю микру ихнюю они ее как то урезали до 1.36Мб, просил как и конфиг ядра, не ответили, из LEDE со мною сразу же в течении нескольких часов связался человек, натыкал мне целое письмо ссылочек о том как и какие перспективы юзания LEDE на моем древнем роутере и посоветовал прикупить роутер с норм. количетсвом флэша если уж очень хочется LEDE или опен-врт фулловую а не микру дд-врт.
разрабы пфсэнс и опнсэнс тоже на форумах не спят. а микротик хрен знает кто такие и с чем едят ;)
Всем
это не ответ ;)
С тем же успехом можно спросить, чем Микротик лучше OPNsense?
> Чем оно лучше микротика?Хотя бы тем что денег не просит.