The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

03.07.2015 21:09  Доступен OPNsense 15.7, форк дистрибутива для создания межсетевых экранов pfSense

Проект OPNsense, в рамках которого в январе этого года началось развитие форка дистрибутива для создания межсетевых экранов pfSense, объявил о выпуске релиза OPNsense 15.7. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Готовые сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (213 Мб).

Целью создания OPNsense является желание сформировать открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. При этом, в отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Из других отличий отмечается новый полностью открытый сборочный инструментарий, более жесткие критерии качества кода, возможность установки в форме пакетов поверх обычного FreeBSD, переписанный Captive Portal, перевод GUI на JavaScript-библиотеку Bootstrap и MVC-фреймворк Phalcon, повышенные требования к безопасности (GUI не должен вызывать операции, требующие root).

Среди возможностей OPNsense можно выделить средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков. Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.

Выпуск OPNsense 15.7 примечателен формированием двух сборок дистрибутива - на основе OpenSSL и LibreSSL, при этом допустима бесшовная миграция между этими двумя вариантами. В дальнейшем, после окончательной стабилизации дистрибутива, останется только на LibreSSL. Другими важными улучшениями являются интеграция системы обнаружения атак Suricata и новые опции для использования локальных и удалённых черных списков для блокировки трафика на прокси-сервере squid.

  1. Главная ссылка к новости (https://opnsense.org/opnsense-...)
  2. OpenNews: Первый выпуск дистрибутива SmallWall, продолжившего развитие проекта m0n0wall
  3. OpenNews: Закрытие проекта m0n0wall и возрождение CrunchBang
  4. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.2
  5. OpenNews: В рамках проекта OPNsense основан форк дистрибутива для создания межсетевых экранов pfSense
Лицензия: CC-BY
Тип: Программы
Ключевые слова: opnsense, pfsense
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 08:44, 04/07/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Идеи конечно хорошие, но от минимализма  m0n0wall не осталось и следа.
     
     
  • 2.3, A.Stahl (ok), 09:19, 04/07/2015 [^] [ответить]    [к модератору]
  • +/
    >Идеи конечно хорошие, но от минимализма  m0n0wall не осталось и следа.
    >213 Мб

    У меня валяются где-то пару SD-шек по 16 МиБ, но это так, из разряда курьёзов.
    Сомневаюсь, что вы найдёте более или менее современный накопитель, в который не поместится 200 МиБ.

     
     
  • 3.6, Аноним (-), 00:08, 05/07/2015 [^] [ответить]     [к модератору]
  • +/
    А у меня TL-MR3020 на openwrt работает в качестве 1 интернет гейта с файрволом... весь текст скрыт [показать]
     
     
  • 4.24, Alex Samorukov (?), 15:37, 07/07/2015 [^] [ответить]    [к модератору]  
  • +/
    новость_не_читай_коммент_оставляй. При чем тут pfsense и freebsd вообще, а?
     
  • 1.2, universite (ok), 08:45, 04/07/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Заметьте, пакет Quagga отсутствует.
     
  • 1.4, Dkg (?), 10:42, 04/07/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Pfsense лучше.
     
     
  • 2.7, Аноним (-), 00:09, 05/07/2015 [^] [ответить]    [к модератору]  
  • +4 +/
    openwrt лучше.

     
     
  • 3.28, count0krsk (ok), 09:22, 09/07/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    microtik не сильно хуже ))
     
  • 1.5, ivd (?), 21:53, 04/07/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В этом релизе напрочь отваливается DHCP сервер  :-(

     
  • 1.8, Аноним (-), 04:49, 05/07/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Мне кажется уже поздно для таких проектов Тазик на freebsd в качестве роутера ... весь текст скрыт [показать]
     
     
  • 2.9, Аноним из Сибири (?), 11:12, 05/07/2015 [^] [ответить]    [к модератору]  
  • +/
    как раз наоборот, сейчас pfsense и иже с ним переживают золотой век: в любой приличной конторе новые сервера идут под виртуализацию, и шлюз крутится как ещё одна виртуалка, которая реплицируется на другой хост и, в случае факапа, разворачивается из бекапа за пару минут. дёшево, удобно, надёжно - всё в одном, идеально для тех у кого нет денег на б/у cisco. а вот по поводу мокротыков от комментариев воздержусь.
     
     
  • 3.12, Аноним (-), 02:26, 06/07/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > в любой приличной конторе

    1) Квантор всеобщности
    2) У "приличных" контор есть деньги на циску, и за колхоз из софтороутеров в критичном месте там бьют по рукам. Спорить будете?

     
     
  • 4.13, Аноним из Сибири (?), 07:12, 06/07/2015 [^] [ответить]    [к модератору]  
  • –2 +/
    спорить не буду, но бесплатно посоветую вам дотянуть хотя бы до ccna r&s и узнать, что внутри хард-роутеров и софт-роутеров одно и тоже, и трафик хард-роутеры обрабатывают софтово.
     
     
  • 5.14, Аноним (-), 13:50, 06/07/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    А ASICи там просто для красоты и обдирания несведущих, ага.
     
     
  • 6.18, Зебра (?), 05:49, 07/07/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    откуда вы такие вылезли? НИКОГДА в роутерах не используются асики, только в свитчах, пусть даже и L3. подтяните матчасть, не позорьтесь
     
     
  • 7.33, Аноним (-), 12:33, 11/07/2015 [^] [ответить]    [к модератору]  
  • +/
    Та ладна. А теперь, плиз, разницу между л3 свитчем и роутером.
     
  • 4.15, ПлавалиЗнаем (?), 16:27, 06/07/2015 [^] [ответить]    [к модератору]  
  • +/
    У большинства реальных контор в регионах с оборотом от девяти до одинадцати нулей в инфраструктуре такой колхоз, что можно фильмы ужасов снимать. Во всяком случае практически во всех, с которыми я сталкивался. И циски там не у всех, и пфсенсы часты.
     
     
  • 5.17, Аноним (-), 04:00, 07/07/2015 [^] [ответить]    [к модератору]  
  • +/
    Мы говорили про "приличные" конторы, вообще-то. Про российские импортозамещающие реалии - отдельный разговор.
     
  • 5.20, Зебра (?), 06:00, 07/07/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    коллега, боюсь, местных "экспертов" не интересует ваш опыт. совсем недавно они поключили к интернету 15 компов в своей школе с помощью "элитного" микротика, который "не имеет аналогов за свои деньги" и теперь всё знают лучше всех, и за свитчи, и за роутеры.
     
  • 5.22, Аноним (-), 07:45, 07/07/2015 [^] [ответить]     [к модератору]  
  • +/
    И таки да, там бывает таблички на дверях дороже стоят, чем вся скрверная Подмен... весь текст скрыт [показать]
     
  • 4.25, Alex Samorukov (?), 15:42, 07/07/2015 [^] [ответить]    [к модератору]  
  • +/
    >> в любой приличной конторе
    > 1) Квантор всеобщности
    > 2) У "приличных" контор есть деньги на циску, и за колхоз из
    > софтороутеров в критичном месте там бьют по рукам. Спорить будете?

    Буду. Конторы бывают разные. Если мы говорим не о суровом энтерпрайзе - то там вполне может быть pSense, это уже ответственность и выбор админа. В циске очень многие задачи решаются много хуже чем на таком роутере, особенно если у нас - несколько каналов (и не bgp, а просто 2 провайдера), нестандартные задачи и требуется дофига всего и сразу. "деньги на циску" - это ваш какой-то колхозный йумор и винокур. Речь же не о затратах, а и о гибкости решения и его производительности. Гигабитные каналы не редкость, и очень часто софтроутеры будут молотить траф лучше чем SOHO железки от той же циски.

     
     
  • 5.27, Аноним (-), 17:17, 07/07/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Ещё раз Ценность железного решения - в его достаточности по ресурсам и предсказ... весь текст скрыт [показать]
     
     
  • 6.29, count0krsk (ok), 09:29, 09/07/2015 [^] [ответить]    [к модератору]  
  • +/
    Давайте-ка названия приличных и колхозных контор в студию, а то ни о чем разговор. Про сферический ынтырпрайз в вакууме за пивом помечтаете с друзьями.
    У нас в "приличных" стоят Микротики (в государственных типа РЖД нередки Цицки), и это считается ТруЪ. В остальных - ISA Server, Traffic Inspector, BSD, Linux И что БГ пошлёт. Ездил по всему городу, и гос. учреждениям, поддерживал 1 софтинку.
    Город сибирский, милионник.
     
     
  • 7.32, Аноним (-), 12:00, 10/07/2015 [^] [ответить]    [к модератору]  
  • +/
    Колхозных - сам найдёшь, приличных - например "дочка" Феско - Феско Лайнз. Только что тебе это даст?
     
  • 3.16, bOOster (ok), 16:44, 06/07/2015 [^] [ответить]    [к модератору]  
  • –3 +/
    Аха. К дырам самого шлюзового софта навешать еще дыр специфичных для хоста виртуализации. Большей глупости я давно не видел.
     
     
  • 4.19, Зебра (?), 05:54, 07/07/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    > Аха. К дырам самого шлюзового софта навешать еще дыр специфичных для хоста
    > виртуализации. Большей глупости я давно не видел.

    большей глупости не видели? - прочтите свой коммент. дыры в гипервизоре можно использовать только имея локальный доступ к одному из гостей, а "дыры шлюзового софта" вообще существуют только в вашем воспёленном сознании: фаервол, который тупо отбрасывает пакеты не может быть узявим.

     
     
  • 5.26, Аноним (-), 17:07, 07/07/2015 [^] [ответить]    [к модератору]  
  • +/
    Хосыди, какой Эпический Идилот :) С больших букафф :)
     
  • 5.30, count0krsk (ok), 09:34, 09/07/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    > фаервол не может быть узявим.

    Чиорт. А мужики-то не знали... iptables же тоже фаервол?
    Значит я... Ох, чёрт! Неуязвим!!! )))

     
     
  • 6.31, Зебра (?), 10:29, 09/07/2015 [^] [ответить]    [к модератору]  
  • +/
    >> фаервол не может быть узявим.
    > Чиорт. А мужики-то не знали... iptables же тоже фаервол?
    > Значит я... Ох, чёрт! Неуязвим!!! )))

    не горячитесь так, идите лучше... свою винду переставьте, а то как вы в случае чего без винбокса то... можете заодно изучить статью в википедии (это ваш потолок и как следует разобраться в ведре вам точно не судьба) об iptables и узнать, что он - только морда (есть и другие, не одна и не две), а линуксовый фаервол называется netfilter.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor