Представлен (https://opnsense.org/opnsense-17-1-released/) выпуск дистрибутива для создания межсетевых экранов OPNsense 17.1 (http://opnsense.org/) (форк проекта pfSense (https://www.pfsense.org/)). Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются (https://github.com/opnsense/) под лицензией BSD. Готовые сборки подготовлены (https://opnsense.org/download/) в форме LiveCD и системного образа для записи на Flash-накопители (250 Мб (https://mirror.auf-feindgebiet.de/opnsense/releases/mirror/)).Основные новшества:
- Обновление системных компонентов до FreeBSD 11 (https://www.opennet.ru/opennews/art.shtml?num=45227) с дополнительной интеграцией патчей для повышения защищённости (ASLR, PIE, SEGVGUARD), разработанных проектом HardenedBSD (https://www.opennet.ru/opennews/art.shtml?num=43784);- Реализация возможности удалённой установки по SSH. После загрузки установочного образа системе назначается IP 192.168.1.1 и запускается DHCP-сервер, что позволяет осуществить установку с подключенной к той же локальной сети клиентской системы, подключившись по SSH с логином "installer" и паролем "opnsense";
- Механизм безопасной установки обновлений расширен средствами для ведения полного лога всех изменений и новыми возможностями аудита установленных версий программ на предмет наличия в них известных уязвимостей;- В состав включены новые плагины для FTP Proxy, Tinc VPN и Let’s Encrypt;
- Возможность применения PAM для организации двухфакторной аутентификации (2FA over SSH);
- Переработана nano-сборка, оформленная в виде готового образа для карт памяти. Задействована утилита growfs для автоматической адаптации образа под размер носителя;- Реализован режим изоляции туннелей IPsec;
- Добавлена поддержка mesh-маршрутизации для VPN;
- Расширены возможности по работе через нескольких провайдеров (правила межсетевого экрана, средства ограничения пропускной способности и captive portal могут совместно использоваться на нескольких WAN-интерфейсах);
- В RESTful API и систему плагинов включены средства для использования подключаемых наборов правил межсетевого экрана и дополнительных сервисов аутентификации;
- Добавлена поддержка PHP 7.0 и проведена оптимизация web-интерфейса.
Напомним, что целью ответвления OPNsense от проекта pfSense было желание сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Из других отличий отмечается новый полностью открытый сборочный инструментарий, более жесткие критерии качества кода, возможность установки в форме пакетов поверх обычного FreeBSD, переписанный Captive Portal, перевод GUI на JavaScript-библиотеку Bootstrap и MVC-фреймворк Phalcon, повышенные требования к безопасности (GUI не должен вызывать операции, требующие root).Среди возможностей (http://opnsense.org/about/features) OPNsense можно выделить средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков. Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.
URL: https://opnsense.org/opnsense-17-1-released/
Новость: https://www.opennet.ru/opennews/art.shtml?num=45963
Зачем плодить одно и то же? Есть Pfsense, бесплатный, стабильный. Имхо у opnsense совсем мало отличий, для форка.
У всех открытых проектов есть фатальный недостаток и форки должны их справить
> Зачем плодить одно и то же? Есть Pfsense, бесплатный, стабильный. Имхо у
> opnsense совсем мало отличий, для форка.В том то то и дело, что Pfsense не совсем открытый проект - инструменты для сборки закрыты, а изменения принимаются по указке коммерческой компании.
Отличия небольшие есть, конечно. Но в основном - аксиома Эскобара.
А так да, штука получше всяких Kerio.
Кстати, у кого-нибудь получилось на *sense завести из коробки SSO через AD?
лично я не слышал, но оказался бы рад подключаться через него
ну что когда там теперь фейсбук впн залявный запилит? не сочтити за офтоп
Facebook анонсировали свой VPN протокол?
а почему не сделать этого?
Почему не создать новый протокол? А для чего? Какие недостатки вы видите в существующих?
Такие же, как сабже - NIH же!
Проблема с сетевыми протоколами в том, что их создание не чем не ограничено, а вот распространение и реализация, ограниченны производителями. Не напрямую, а опосредованно, то есть, создать новый протокол вам никто не мешает, вы даже можете написать RFC и опубликовать его с определённой долей везения. Но кто реализует или внедрит ваш протокол?Пример с OpenVPN показывает, как трудно продвинуть новый протокол на устройства, даже при условии, что разработчики сами поддерживают реализацию протокола. Причин почему его не внедряет Cisco или Juniper, или Microsoft, много, в числе которых и наличие собственных реализаций SSL VPN протоколов к примеру.
То есть, вы создадите новый протокол, но пользоваться им никто не сможет, потому, что производители не пожелают его внедрять.
Куда у них подевалось libressl?
Очень важный проект, чтобы PFSense активнее работали и не борзели
> Очень важный проект,Более того, они держат нас в курсе.
Годнота
как в этом гребанном дистре включить wan access? редирект в nat не помогает
правило на ван сделай
Rock me Amadeuz. Для армов версии нету. печаль.
L7 в нем реализовали или так же как и в родном пф нету с 1.2.3?
OpenBSD PF обладает возможностью инспекции пакетов на Layer 7 модели OSI?! Или я не правильно вас понял?
Нет конечно - не могет он такого. Но кто тебе сказал что там только pf?! :-)
Туда столько всего всунуто ... но я про pfSence - этот даже не пробовал ещё :(
В PFSense судя по их вики, ipfw-classifyd удалили, но и при его наличие это было очень не эффективно из-за высокой нагрузки на CPU.А вот использование Snort выглядит предпочтительным и разумным, вот только где брать для него готовые сигнатуры? Cisco свои или TrendLab IPS сигнатуры к Snort не предоставляет, самостоятельное их создание выглядит практически не реальным. Как вы выходите из этой ситуации?
я рад что о обо мне думают. но всеже если у меня есть все ресурсы чтобы смотреть трафик(не нужное отсекать) почему решили что оно мне не надо? может быть заговор? может это комуто выгодно?
Подскажите маленькую, дешёвую и тихую железку с двумя сетевыми портами, на которую можно поставить сабж. На оф-сайте pfSense какие-то уж очень дорогие варианты. Раньше ALIXы были хорошим вариантом, но теперь их в России днём с огнём не сыщешь.
microserv gen 8