Состоялся (https://opnsense.org/opnsense-16-7-released/) релиз дистрибутива для создания межсетевых экранов OPNsense 16.7 (http://opnsense.org/), в рамках которого развивается форк проекта pfSense (https://www.pfsense.org/). Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются (https://github.com/opnsense/) под лицензией BSD. Готовые сборки подготовлены (https://opnsense.org/download/) в форме LiveCD и системного образа для записи на Flash-накопители (219 Мб).Особенности нового выпуска:
- Обновление системных компонентов до FreeBSD 10.3 (https://www.opennet.ru/opennews/art.shtml?num=44130) с дополнительной интеграцией патчей для рандомизации адресного пространства (ASLR), разработанных проектом HardenedBSD (https://www.opennet.ru/opennews/art.shtml?num=43784);
- Включение в состав системы обнаружения и предотвращения сетевых вторжений Suricata 3.1.1 (https://www.opennet.ru/opennews/art.shtml?num=44628) с задействованием движка регулярных выражений Intel Hyperscan;
- Система отчётов и экспорта информации о трафике на основе NetFlow;
- Режим ограничения трафика на базе алгоритмов CoDel / FQ-CoDel;
- Поддержка двухфакторной аутентификации c применением одноразовых паролей, соответствующих RFC 6238 (TOTP (https://ru.wikipedia.org/wiki/Time-based_One-time_Password_A... - Time-based One-time Password);
- В прокси-сервере добавлена поддержка HTTPS и ICAP;
- Возможность загрузки и установки на системы с UEFI;
- Значительное обновление перевода элементов интерфейса на русский язык.Напомним, что целью создания OPNsense является желание сформировать открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. При этом, в отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Из других отличий отмечается новый полностью открытый сборочный инструментарий, более жесткие критерии качества кода, возможность установки в форме пакетов поверх обычного FreeBSD, переписанный Captive Portal, перевод GUI на JavaScript-библиотеку Bootstrap и MVC-фреймворк Phalcon, повышенные требования к безопасности (GUI не должен вызывать операции, требующие root).
Среди возможностей (http://opnsense.org/about/features) OPNsense можно выделить средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков. Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.
URL: https://opnsense.org/opnsense-16-7-released/
Новость: https://www.opennet.ru/opennews/art.shtml?num=44869
pfsense обещали запилить для arm, вот жду недождусь, а это сольется быстро
На данный момент у pfsense есть проблемы. https://forum.pfsense.org/index.php?topic=115826.0
"на даннный момент"?
какое затяжное чуйство "момента".. Сколько раз за "данный момент" у тебя сменилось за окном белое на зеленое? Огненный файрбол сколько раз пролетел?
мне нужно было на squid ssl bump. хз как щас но год назад пфсенс не умел(который уже стоял до меня).
с одной стороны удобно конешно. но придет время когда поставят задачу которую на этих вебмордах не выполнишь. и будешь потом начальству объяснять, что нужно время для миграции и переноса настроек.
я конешно сделал просто и через жопу -с пфсенса перебросил веб порты на вирт.машинку со сквидом, а она потом лезла через пфсенс.
аналогичная фигня с микротик и фрипбх. а перенести настройки с эластикса например вообще нереально. тупо с нуля все делать.
SSL-bump? Ого, стрёмная у вас контора. Просто в наше время, обычно одного ната хватает. В остальном - полностью согласен.
У меня, например - роутеры на виртуалках чаще всего работают. Настраиваются всего-лишь ансибиль-плейбуком. И не нужен мне никакой спецдистрибутив, вся конфигурация просто в гите лежит.
> SSL-bump? Ого, стрёмная у вас контора. Просто в наше время, обычно одного
> ната хватает. В остальном - полностью согласен.
> У меня, например - роутеры на виртуалках чаще всего работают. Настраиваются всего-лишь
> ансибиль-плейбуком. И не нужен мне никакой спецдистрибутив, вся конфигурация просто в
> гите лежит.роутеры? на виртуалках?? Moжет у тебя и брандмауэры на виртуалках?! :)
А насчет управления конфигурациями ты абсолютно прав!
Но все-таки для маршрутизаторов/брандмауэров виртуалки - это нонсенс!
> это нонсенс!Не всегда.
- В облаке, пусть даже на 300 физ-машин, намного проще использовать софтовые решения. Особенно, если это облако - CDN-origin. Брандмауэр можно не только вынести отдельно, но и даже купить CDN. И общаться они будут через интернет.
- Для инфраструктуры, типа - 1-10 proxmox/opennebula-серверов для всего - есть bridge с глобальной сетью и диапазоном IP-адресов. Из проксмокса они раздаются тем виртуалкам, где они нужны. Одна из таких виртуалок - роутер с маскарадингом, подключенный во внутренние сети.Конечно, есть и промежуточный(классический вариант). Я так делал раньше, с отдельным PC-роутером или cisco-asa, но сейчас для меня это не стоит тех трудозатрат и железозатрат. Этому так же способствовал колокейшн инфраструктуры за рубежом.
брендмауэр - это фаервол? что плохого в том, что роутер или фаервол крутится в виртуалке?
конкуренция - это всегда хорошо. с их появлением пфсенс заметно активизировался, перетряхнул интерфейс, пусть и не слишком удачно на первый взгляд )
Remove PPPoE, L2TP and PPTP servers from base installationНаркоманы
У меня чортов GPON, СПб рст - просит PPPoEp.s. добро пожаловать в реальность
Вырывайте из контекста - эти серверы потеряли актуальность, так как "PPTP, L2TP and PPPoE Servers ported to MPD5".
Это я из контекста вырвал ?))
Вы различаете понятия сервер и клиент?
так там и сервер нужОн. был.
тк в телекоме малом - юзается в наших краях.
ДА главное работу других обгадить и сказать что не верно. А сами в базовых понятиях сервер и клиент плавают!!!
На мой взгляд возникло недопонимание, серьезно.Я ничего не говорил про криворуких разрабов - это сугубо ваша выдумка.
Я не засирал ни чью работу.Хотел сказать, что писать об одном изменении ( переносе поддержки одного протокола в другой пакет ) - стоит писать в одном пункте, а не разделять пятью. ( это отсыл к "выпаданию из контекста" ). Неужели тут все так деградировали? Ах каникулы...
так они специально, тк нигде почти кроме CIS - не используется. PPPoE даже уже сворачиваются помаленьку в пользу IPoE&802.1x2010(бо MacSec и PortSec уже нативно во всех железках актуальных из продаваемых).
аналогично - дропнули поддержку ряда других специфичных фич для региона - когда минторг сша - робко "попросил" SPI и дебьян "помог им"(с выкидыванием критичного для R500 кода из мэйнстрима - та-же фигня ~).
Расскажи это маленкому местечковому провайдеру Bell :-(
> перевод GUI на JavaScript-библиотеку BootstrapА я то наивно думал что это прежде всего CSS-библиотека.
В последних версиях PfSense перестал работать пакет BIND.
> В последних версиях PfSense перестал работать пакет BIND.Ну и кто они после этого?
После m0n0wall не интересно
так m0n0wall год уже как закрылся, не?
http://m0n0.ch/wall/end_announcement.php
Роутер (как и файрвол и проч.) без CLI не нужен. Больше об этих поделках сказать нечего.
> Роутер (как и файрвол и проч.) без CLI не нужен. Больше об
> этих поделках сказать нечего.Виндоадминам - очень даже нужен. Можно всё сделать на пиратской винде, а шлюз для безопасности на этом вот, или Микротике. Причем они их не обновляют, боятся "сломать интернет" ))
А куда же подевалось LibreSSL?
