The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Вышел дистрибутив для создания межсетевых экранов pfSense 2.1

15.09.2013 21:08

После двух лет разработки представлен выпуск минидистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.1. Дистрибутив основан на кодовой базе FreeBSD 8.3 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно несколько образов для архитектур i386 и amd64, размером от 80 до 180 Мб, включая LiveCD и образ для установки на USB Flash.

Управление дистрибутивом производится через web-интерфейс. Для организации выхода пользователей в проводной и беспроводной сети может быть использован Captive Portal, NAT, VPN (IPSec, OpenVPN и PPTP) и PPPoE. Поддерживается широкий спектр возможностей по ограничению пропускной способности, лимитирования числа одновременных соединений и фильтрации трафика. Статистика работы отображается в виде графиков или в табличном виде. Поддерживается авторизация по локальной базе пользователей, а также через RADIUS и LDAP.

Основные новшества:

  • Поддержка IPv6: в большинстве секций web-интерфейса теперь возможна настройка конфигурации IPv6. В том числе, IPv6 доступен в секциях настройки межсетевого экрана, маршрутизации, CARP, DHCP, туннелирования, VPN, DNS, PPPoE и т.д.
  • Поддержка установки дополнений, оформленных в форме пакетов в формате PBI, используемом проектом PC-BSD;
  • Поддержка RIP (routed), OLSRD и Unbound выделена в отдельные пакеты;
  • Переход на кодовую базу FreeBSD 8.3, обновление драйверов Atheros, OpenSSL 1.0.1e, PHP 5.3.x, OpenVPN 2.3.x;
  • Переработан управляющий web-интерфейс, который переведён с JavaScript-библиотеки Prototype на jQuery. Улучшена навигация и отображение состояния сервисов, добавлена многоязычность, расширено применение AJAX для обновления информации без перезагрузки страницы;
  • Возможность создания пользователей для доступа в интерфейс с ограничением только на чтение;
  • Расширены возможности Captive Portal (организации входа пользователей в сеть через аутентификацию на специальной web-странице ). Добавлена поддержка использования единого Captive Portal для разных сервисов и возможность аутентификации через разные серверы RADIUS (один для пользователей, другой для входа по картам). Возможность создания пользователей с привилегиями доступа только к Captive Portal;
  • Опциональная поддержка установки с использованием только RAM-диска для разделов /var и /tmp, минимизирующая операции записи на базовый носитель;
  • Поддержка Multi-WAN (переключение на запасной линк в случае сбоя первичного) для DynDNS, IPsec и OpenVPN;
  • Расширены возможности, связанные с IPsec, OpenVPN, DHCP, NAT, пакетным фильтром, CARP;
  • Увеличена гибкость работы с логами. Разные типы логов (система, маршрутизация, резолвинг и т.п.) разделены по отдельным вкладкам. Лог пакетного фильтра может быть отфильтрован по различным критериям и отсортирован по любому столбцу.


  1. Главная ссылка к новости (http://blog.pfsense.org/?p=712...)
  2. OpenNews: Первый стабильный релиз BSD Router Project 1.0
  3. OpenNews: Проект PC-BSD представил новую реализацию формата пакетов PBI
  4. OpenNews: Релиз минималистичного дистрибутива для создания сетевых шлюзов - m0n0wall 1.34
  5. OpenNews: Проект ArchBSD начал развитие дистрибутива, сочетающего FreeBSD и технологии Arch Linux
  6. OpenNews: Релиз дистрибутива для создания сетевых хранилищ FreeNAS 9.1
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/37918-pfsense
Ключевые слова: pfsense
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Михрютка (ok), 22:41, 15/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    нууу при прошлом апдейте они отломали резолвинг и автодозвон. интересно, что сейчас отвалится?

    > Поддержка Multi-WAN (переключение на запасной линк в случае сбоя первичного) для DynDNS, IPsec и OpenVPN;

    годно

    > Поддержка установки дополнений, оформленных в форме пакетов в формате PBI, используемом проектом PC-BSD;

    негодно; вероятность шаловливых рук у клиента все-таки не нулевая.

     
  • 1.2, Жорж (?), 00:45, 16/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    8.3? Какой роутер можно на этом постоить? ipfw там имеет дикие ограничения, например на количество таблиц, и другие наглухо захардкоденные параметры. pf и по сей день однопоточный. NG модулей в 8.3 многих нет. Скажем ipfw nat из 8.3 на простых десктопных гигабитных сетевухах вытянет ну может 100 Мб/с, и то загрузка процессора будет под 100% по прерываниям, я думаю в районе 10-15k pps. Почему они не делаю это на 9-S? Там уже и ipfw подкрутили вроде (тем не менее по сравнению с iptables он не умеет ничего), в 10-ке даже pf будет многопоточный.
     
     
  • 2.3, alx (??), 01:19, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они делают для себя то, что их устаривает, и по фану делятся результатом.
     
  • 2.4, Михрютка (ok), 01:28, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > 8.3? Какой роутер можно на этом постоить?

    маленький и дешевый.

    > ipfw nat из 8.3 на простых десктопных гигабитных сетевухах вытянет ну
    > может 100 Мб/с, и то загрузка процессора будет под 100% по

    повторяю, маленький и дешевый. сто мегабит аплинк - это не сюда, для клиента это не фактор.

     
     
  • 3.6, Аноним (-), 04:52, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > маленький и дешевый.

    Щаз. Иди переплюнь вон те мыльницы с магазинной полки по 50 баксов по размеру и цене. А кому мало фабричной фирмвари - openwrt есть. Вот это - маленький и дешевый.

    > повторяю, маленький и дешевый.

    А это ставится 50-баксовая железяка. Только там сабж - вообще ни о чем.

     
     
  • 4.10, Аноним (10), 07:51, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Эти дешёвые выкидыши затыкаются на нагрузке от одного клиента уже. Качество железа там вообще на высоте. Вот валяется недавно купленная такая д-линковская (линуксовая) поделка 1155.
     
     
  • 5.25, Аноним (-), 15:38, 17/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так и сабж на том же уровне. "Маленький и дешевый", ага :)
     
  • 4.15, Михрютка (ok), 14:40, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> маленький и дешевый.
    > Щаз. Иди переплюнь вон те мыльницы с магазинной полки по 50 баксов
    > по размеру и цене. А кому мало фабричной фирмвари - openwrt
    > есть. Вот это - маленький и дешевый.

    да тащемта регулярно переплевываются, как только клиенту надоедает рестартовать их по пять раз на дню и звонить в саппорт с вопросами "у миня опять не работаит" или "пачиму на моем 10мегабитном! подключении попетепе випеэн больше 4 мегабит не тянет? пошто трафик режете, гады???7".

    если клиент не хочет странного, ему потом покупается какой-нибудь линксис или циска rv например, а если хочет - тут pfsense вполне себе имеет нишу.

    >> повторяю, маленький и дешевый.
    > А это ставится 50-баксовая железяка. Только там сабж - вообще ни о
    > чем.

    про $50 роутеры - это сказка, такая же, как про деда Мороза или "компьютер за $35".

     
     
  • 5.17, Анончик (?), 16:45, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    с опенврт такие железки затыкаются еще раньше из-за отсутствия проприетарных модулей fastnat и прочих.
     
     
  • 6.19, Михрютка (ok), 20:31, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > с опенврт такие железки затыкаются еще раньше из-за отсутствия проприетарных модулей fastnat
    > и прочих.

    та они и с родной прошивкой...

    я в таких случаях брал какую-нибудь пузомерку покрасивее и демонстрировал клиенту сначала прямое подключение с ноута, а потом через его "оптимальный по соотношению цена/качество" кал. на них в этот момент приятно смотреть было, из головы прямо на глазах всплывал пузырь с текстом "кажется, меня где-то наебывают..."

     
     
  • 7.27, Аноним (-), 15:41, 17/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > я в таких случаях брал какую-нибудь пузомерку покрасивее и демонстрировал клиенту сначала
    > прямое подключение с ноута, а потом через его "оптимальный по соотношению
    > цена/качество" кал. на них в этот момент приятно смотреть было, из
    > головы прямо на глазах всплывал пузырь с текстом "кажется, меня где-то
    > наебывают..."

    "Повторяю, маленький и дешевый"©

     
  • 5.26, Аноним (-), 15:40, 17/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > да тaщемта регулярно переплевываются, как только клиенту надоедает рестартовать их по пять
    > раз на дню и звонить в саппорт с вопросами "у миня
    > опять не работаит" или "пачиму на моем 10мегабитном! подключении попетепе випеэн
    > больше 4 мегабит не тянет? пошто трафик режете, гады???7".

    Клиент хотел маленький и дешевый роутер - он его получил.

    > тут pfsense вполне себе имеет нишу

    Какую, если не секрет?

     
  • 2.12, Miha (??), 09:29, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > 8.3? Какой роутер можно на этом постоить? ipfw там имеет дикие ограничения,
    > например на количество таблиц, и другие наглухо захардкоденные параметры. pf и
    > по сей день однопоточный. NG модулей в 8.3 многих нет. Скажем
    > ipfw nat из 8.3 на простых десктопных гигабитных сетевухах вытянет ну
    > может 100 Мб/с, и то загрузка процессора будет под 100% по
    > прерываниям, я думаю в районе 10-15k pps. Почему они не делаю
    > это на 9-S? Там уже и ipfw подкрутили вроде (тем не
    > менее по сравнению с iptables он не умеет ничего), в 10-ке
    > даже pf будет многопоточный.

    Вы зайдите на гитхаб и посмотрите сколько там переделано\добавлено. Вы не сравнивайте этот дистр с голой FreeBSD 8.3.

     
  • 2.13, Аноним (-), 09:57, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Какой роутер можно на этом постоить?

    у меня такой роутер крутится в виртуалке на VMWare. Выпускает в Инет (авторизация через RADIUS + Active Directory) порядка 100 юзеров, плюс сервера и т.д. Пускает из Инета через VPN всяких внешних юзеров. Особых проблем нет, так, мелкие неудобства только.
    Вполне годная штука для "собрал на коленке, мышкой в браузере потыкал и забыл".

     
     
  • 3.14, Нанобот (ok), 09:59, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Выпускает в Инет (авторизация через RADIUS + Active Directory) порядка 100 юзеров

    а можна не в юзерах, а в мегабитах и пэпээсах?

     
     
  • 4.20, Аноним (-), 21:55, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А че такое пэпээс?
     
     
  • 5.21, Михрютка (ok), 22:48, 16/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    - Сэржант Петрэнко, патруль трафика. Пакетики в канале предъявили для осмотра.
     
  • 4.28, Аноним (-), 15:42, 17/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >>Выпускает в Инет (авторизация через RADIUS + Active Directory) порядка 100 юзеров
    > а можна не в юзерах, а в мегабитах и пэпээсах?

    Низя. Это ж нанотехнологии, а они - военная тайна.

     

  • 1.5, asavah (ok), 01:36, 16/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    фряху люблю и уважаю, на старых серверах юзаю ессно ipfw + kernel nat, pf -> фтопку, на новых уже давно идут дебиановны.

    Пробовал  pfsense ИМХО - УГ, кроме полуняшной, но бесполезной вебморды нет в нём ничего хорошего.
    Грамотный админ парой скриптов и конфигов сделает всё то, что оно умеет, будь то на бзде с ипфв или на пингвине с иптэйблами.

     
     
  • 2.23, Аноним (-), 00:44, 17/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Получается, что фряха уже не имеет преимуществ при использовании в качестве маршрутизатора? Чаще всего ее так и юзают, ну еще для nas реже. Линукс и универсальнее и лучше в деталях?
     
  • 2.24, Piter_Ring (ok), 07:45, 17/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Грамотный!! как раз не станет парой скриптов еб...ть себе мозги а поставит пфсэнс, моновол или что рядом и забудет. А вот красноглазый школьник прочитавший первые 30 страниц хэндбука для самоутверждения - таки да, постарается навалять "пару скриптов". При чем каждый скрипт заработает ой как не сразу, а многие бока вылезут и будут вылазить еще долгое время.

    Ну а если ты решил щегольнуть - нука наваляй парой скриптов маршрутизатор с натом да с шэйпером, да еще что бы грузился за 5 сек и размер был не больше 20метров. А мы тут рассмотрим твой вариант.

     
     
  • 3.32, count0krsk (ok), 01:33, 26/01/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Тащемта этот ваш пфсенс на Celeron 2000Mhz грузиться далеко не 5 сек, а всю минуту.
    Да, сеть появляется секунд через 40, но... Тот же Линукс взлетает раза в 1.5 быстрее.
    У меня например скриптов не пара, а штук 30-40 уже набралась на разные случаи жизни, от обработки данных и правил фаервола - до парсинга писем из папки спам и добавления доменов в список postfix-a с перечитыванием конфига, рипа погоды с местного сайта в conky ))

    Пытался на этот pfsense поставить софт из портов freebsd - что-то сломалось после перезагрузки. А родных "плагинов" мало, например полноценного ДНС-сервера в прошлой версии не было кроме Бинд-а, а он не вставал из их офф плагина. Nginx с php-fpm вроде тоже не наблюдалось. Ну короче огрызок с вебкой для тех, кто консоль не осилил.

     
  • 2.29, Piter_Ring (ok), 22:18, 18/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
     
     

  • 1.9, Аноним (10), 07:36, 16/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Мне нравится преемственностью. Со времён 1.х ничего не ломалось кроме вышеупомянутого резолвинга, который получил патч через несколько часов после релиза (но официальный релиз с фиксом они затянули, это правда). На мои 20 мегабит WAN и 100 мегабит LAN c головой хватает Alix Board (на котором ещё Squid, раздача Wi-Fi и OpenVPN сервер с аппаратным шифрованием). Да, надеюсь, реализовали поддержку n диапазона в Atheros.
     
  • 1.16, CyberDaemon (ok), 16:06, 16/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем pf то не угодил? Хотя мне особо сравнивать не с чем. Предпочитаю опенка ставить на шлюзы. Для конторки в 120 ПК и парой любителей через VNC сидеть из дома вполне хватает.
     
  • 1.18, Аноним (-), 17:42, 16/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Чем оно лучше vyatta?
     
  • 1.30, svlasov (ok), 02:50, 19/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-нить может прокомментировать в сравнении с WANem? Это вообще из той же оперы?
     
  • 1.31, D (?), 21:20, 01/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Zentyal проще и русифицирован. Пользуюсь им.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру