The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз дистрибутива для создания межсетевых экранов pfSense 2.3

13.04.2016 10:32

Доступен выпуск компактного дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.3. Дистрибутив основан на кодовой базе FreeBSD 10.3 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно несколько образов для архитектур i386 и amd64, размером от 300 до 350 Мб, включая LiveCD и образ для установки на USB Flash.

Управление дистрибутивом производится через web-интерфейс. Для организации выхода пользователей в проводной и беспроводной сети может быть использован Captive Portal, NAT, VPN (IPsec, OpenVPN) и PPPoE. Поддерживается широкий спектр возможностей по ограничению пропускной способности, лимитирования числа одновременных соединений, фильтрации трафика и создания отказоустойчивых конфигураций на базе CARP. Статистика работы отображается в виде графиков или в табличном виде. Поддерживается авторизация по локальной базе пользователей, а также через RADIUS и LDAP.

Основные новшества:

  • Системные компоненты переведены c PBI на использование пакетного менеджера pkg, который теперь задействован для обновления всех составных частей дистрибутива, в том числе для обновления всей системы (ядро и базовая система оформлены в виде пакетов). Переработана система сборки дистрибутива;
  • Web-интерфейс переписан с использованием фреймворка Bootstrap и унифицирован для комфортной работы как на настольных системах, так и на мобильных устройствах. Полностью изменён внешний вид, в виджетах более активно задействована технология AJAX.
  • Переработана система формирования RRD-графиков, для отрисовки которых задействована библиотека D3. Сами графики перемещены в меню "Status > Monitoring".
  • В интерфейс управления правилами пакетного фильтра и NAT добавлена возможность изменения порядка следования правил через их перемещение мышью в режиме drag&drop. Расширены возможности по настройке правил 1:1 NAT. Более наглядно выделены разделители блоков. На странице "Diagnostics > States" обеспечено отображение статистики по пакетам и трафику для каждого состояния;
  • Расширены возможности интерфейсов для настройки VLAN, сетевых мостов и динамического DNS;
  • В качестве http-сервера для организации доступа к web-интерфейсу и Captive Portal вместо lighttpd задействован nginx;
  • Вместо inetd задействован xinetd;
  • Обновлены версии программ: базовая система обновлена до FreeBSD 10.3-RELEASE, PHP обновлён до версии 5.6, dhcpd до 4.3.3P1, strongSwan до 5.4.0;
  • Из состава удалён сервер PPTP. В настройки L2TP добавлена опция для включения MS-CHAPv2. В сервер PPPoE добавлен подсчёт числа входов пользователя;
  • Прекращена поддержка WEP и улучшены настройки беспроводных соединений;
  • По умолчанию для хэширования паролей задействован алгоритм bcrypt;


  1. Главная ссылка к новости (https://blog.pfsense.org/?p=20...)
  2. OpenNews: Доступен OPNsense 16.1, форк дистрибутива для создания межсетевых экранов pfSense
  3. OpenNews: Первый выпуск дистрибутива SmallWall, продолжившего развитие проекта m0n0wall
  4. OpenNews: Закрытие проекта m0n0wall и возрождение CrunchBang
  5. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.2
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/44235-pfsense
Ключевые слова: pfsense
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (42) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, DmA (??), 11:33, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –19 +/
    Интересно, хоть в одном Юниксе(Linux,FreeBSD,Solaris и тд) есть двухсторонний фаревол? В Винде(есть в Window Vista и старше, точнее моложе) он называется "брандмауэр в режиме повышенной безопасности". Это когда можно добавить правила для исходящих соединений, что таким-то программам можно в сеть выходить, а всем остальным  программам на этом компьютере нелья. Были какие-то намётки  привязки программ к правилам брандмауэра в iptables и selinux, но кажется всё умерло так и не родившись.
     
     
  • 2.3, Danil (??), 11:37, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://www.google.ru/#newwindow=1&q=linux+application+firewall
     
  • 2.6, 1 (??), 11:39, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Как на роутере узнать, какая программа генерирует траффик ? Мы же не про локальные фаерволы говорим, да ?
     
     
  • 3.7, DmA (??), 12:01, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я про хостбазед фареволлы говорил, если таких в Линуксе нет, то любая программа запущенная от пользователя может слить данные куда-нибудь в любой компании. Это ненормально, когда любая программа имеет доступ в сеть после установки, тот же Firefox кучу всего шлёт в Интрнет, а уж сколько всего ненужного шлёт виндовс...
    А так разрешил выходить в сеть только одной программе и порядок...
    Если уровнят предприятия фаереволлы так умеют контролировать на уровне приложений, то вообще отлично.
     
     
  • 4.9, tipa_admin (?), 12:39, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Во фряхе: создаешь группу для 'программы'.
    Вписываешь в ipwf разрешающее правило для gid данной группы.
    Запускаешь 'программу' через sudo -g имя_группы.
     
  • 4.13, Pahanivo (ok), 13:25, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Я про хостбазед фареволлы говорил, если таких в Линуксе нет, то любая
    > программа запущенная от пользователя может слить данные куда-нибудь в любой компании.
    > Это ненормально, когда любая программа имеет доступ в сеть после установки,
    > тот же Firefox кучу всего шлёт в Интрнет, а уж сколько
    > всего ненужного шлёт виндовс...
    > А так разрешил выходить в сеть только одной программе и порядок...
    > Если уровнят предприятия фаереволлы так умеют контролировать на уровне приложений, то вообще
    > отлично.

    вы мыслите как истинный виндузятник - "я найду кнопку, нажму, и все станет за^Wшибись".
    вы путаете политику обеспечения безопасности (как концепцию) и фаервол (как инструмент) - это как бы узколобо очень.

     
     
  • 5.31, Иван Маскаев (?), 19:52, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не надо на человека наезжать за то что он любит "удобно". Он прав-такого решения нет,есть сигнатурные костыли,есть,конечно, и Anfd и AppArmor,но нормального полноценного решения как в сотнях виндовых нет. Еще рекламировали год назад douane,но у него такой стремный для чтения код,что лучше подождать пока кто-нибудь авторитетный проверит.
     
     
  • 6.34, Pahanivo (ok), 20:50, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не надо на человека наезжать

    DmA, залогинтесь


     
     
  • 7.41, Иван Маскаев (?), 22:16, 14/04/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >DmA, залогинтесь

    паранойя?!

     
  • 2.8, Меломан1 (?), 12:04, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С чего вы взяли, что SELinux умер? Запрещайте и разрешайте запуск программ и доступ для них. Есть CLI и GUI. Suse и Ubuntu юзают AppArmor, вроде легче для понимания, чем SELinux и работает в автоматическом режиме, как в Windows.
     
     
  • 3.12, DmA (??), 13:06, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > С чего вы взяли, что SELinux умер? Запрещайте и разрешайте запуск программ
    > и доступ для них. Есть CLI и GUI. Suse и Ubuntu
    > юзают AppArmor, вроде легче для понимания, чем SELinux и работает в
    > автоматическом режиме, как в Windows.

    я не про SELINUX, я знаю что оно не умерло, я про возможность контролировать у приложений доступ к сети: Этим разрешено, а этим нет.Была какая-то возможность такую вещь контролировать и у Selinux , вот только куда-то делось.
    Если бы такая возможность имелась в iptables или SELinux, то об этом наверняка писалось в к документации  к дистрибутивам  fedora и rhel, а там ничего про такие возможности нет.


     
     
  • 4.22, VKraft (?), 14:44, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Такая возможность в SELinux есть точно, во FreeBSD можно по uid, gid, jail_id в ipfw + https://www.freebsd.org/cgi/man.cgi?query=mac&sektion=4&apropos=0&manpath=Free (система имеющая общее с SELinux и позволяющая реализовывать политики доступа в т.ч. программ в сеть).
     
  • 2.20, Аноним (-), 14:22, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В iptables когда-то давно даже была такая экспериментальная опция, но её потом быстро убрали. Согласен, полезная вещь.
     

  • 1.2, Аноним (-), 11:34, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Отличное подели, помню, заказчик очень хотел найти простую альтернативу Cisco ASA 5505, и даже заложил бюджет на кластер из двух Cisco ASA с лицензиями. Вовремя я появился и заменил все на pfSense 2.1, моржа у меня  была колоссальная! Даже задонатил немного им на развитие.
     
     
  • 2.4, 1 (??), 11:38, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    "моржа колоссальная" а пингвина минимальная
     
  • 2.14, DmA (??), 13:35, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Отличное подели, помню, заказчик очень хотел найти простую альтернативу Cisco ASA 5505,
    > и даже заложил бюджет на кластер из двух Cisco ASA с
    > лицензиями. Вовремя я появился и заменил все на pfSense 2.1, моржа
    > у меня  была колоссальная! Даже задонатил немного им на развитие.

    что это за заказчик, который знает про Cisco ASA 5505, но не знает про всякие дистрибутивы Linux и FreeBSD? прям лох какой-то


     
     
  • 3.26, Аноним (-), 16:15, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это вам так кажется, что все про всё знают!  50% заказчиков думают, что сети строятся только на оборудовании Cisco. Я говорю о мелком - среднем сегменте.
     
  • 3.36, Аноним (-), 09:45, 14/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Отличное подели, помню, заказчик очень хотел найти простую альтернативу Cisco ASA 5505,
    >> и даже заложил бюджет на кластер из двух Cisco ASA с
    >> лицензиями. Вовремя я появился и заменил все на pfSense 2.1, моржа
    >> у меня  была колоссальная! Даже задонатил немного им на развитие.
    >  что это за заказчик, который знает про Cisco ASA 5505, но
    > не знает про всякие дистрибутивы Linux и FreeBSD? прям лох какой-то

    Действительно лох, если пытались впарить 5505 да ещё и в кластер.. Тут такому поставили панас NCP вместо NS по такому же принципу, правда как говорится на каждую хитрую..., пришлось ребятам "убить своего моржа" дополнительной платой, ибо контракт.

     
  • 2.32, Аноним (-), 20:04, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >моржа

    Тот момент, когда хотел блеснуть знанием экономики, а блеснул незнанием орфографии.
    facepalm.gif

     
  • 2.42, leap42 (ok), 02:46, 15/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    40 тыс рублей?
     

  • 1.5, Аноним (-), 11:39, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    радикальные перемены, пожалуй подожду следующей версии.
     
  • 1.10, dkg (?), 12:53, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    The best, имхо
     
  • 1.11, Аноним (-), 12:54, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    802.11n хоть как-то поддерживает? Или на дворе по-прежнему 2005 года как и в материнской FreeBSD?
     
     
  • 2.23, Аноним (-), 14:50, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > 802.11n хоть как-то поддерживает? Или на дворе по-прежнему 2005 года как и
    > в материнской FreeBSD?

    И как оно, с необновленной методичкой?



    commit 3569e353ca63336d80ab0143dd9669b0b9e6b123
    Author: sam <sam@FreeBSD.org>
    Date:   Sun Apr 20 20:35:46 2008 +0000
    +.It Li H
    +High Throughput (HT).
    +Indicates that the station is using HT transmit rates.
    +.It Cm ht
    +Enable use of High Throughput (HT) when using 802.11n (default).
    +The 802.11n specification includes mechanisms for operation
    +on 20MHz and 40MHz wide channels using different signalling mechanisms
    +than specified in 802.11b, 802.11g, and 802.11a.
    +Stations negotiate use of these facilities, termed HT20 and HT40,
    +when they associate.
    +To disable all use of 802.11n use
    +.Fl ht .
    +To disable use of HT20 (e.g. to force only HT40 use) use
    +.Fl ht20 .
    +To disable use of HT40 use
    +.Fl ht40 .






    commit 34a2b415372b0605c10b45a882f9bae8413a6e41
    Author: sam <sam@FreeBSD.org>
    Date:   Wed Jun 10 03:35:40 2009 +000

    +Supported features include 802.11n, power management, BSS,
    +and host-based access point operation modes.
    +All host/device interaction is via DMA.

    +Devices support 802.11n, 802.11a, 802.11g, and 802.11b operation with
    +transmit speeds appropriate to each.
    +The actual transmit speed used is dependent on signal quality and the
    +.Dq "rate control"



     
     
  • 3.27, Аноним (-), 17:38, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >> 802.11n хоть как-то поддерживает? Или на дворе по-прежнему 2005 года как и
    >> в материнской FreeBSD?
    > И как оно, с необновленной методичкой?

    Нормально с необновляемой методичкой в 2016 году. Неужто такая большая радость - в 2016 году в FreeBSD появились признаки поддержки 802.11n? Это победа, я щитаю. Если не вспоминать о том, что она начальная и пытается работать на двух-трех устаревших чипах.

    Кстати, когда-то пользовал pfsense. Остались впечатление, что это громоздкое со специально запутанным веб-интерфесом чучело. Неудивительно, что его авторы выбрали в качестве основы FreeBSD, раз у них такие извилисто-выворотистые мозги.

    Как только у меня появилась потребность в беспроводных сетях и некоторых более сложных технологиях, это чучело было снесено. С тех пор, лишь прочитав в описании продукта слово "FreeBSD", сразу захлопываю эту урну.

     
     
  • 4.30, Аноним (30), 19:44, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Читай внимательнее, урнозахлопыватель:

    Date:   Sun Apr 20 20:35:46 2008 +0000

    Какой 2016-й год. Не нравится - не пользуй, что ты тут раскричался. Никто тебе лично ничего в FreeBSD не должен. В pfSense тоже.

     
  • 4.38, Аноним (-), 16:04, 14/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Неужто такая большая радость -
    > в 2016 году в FreeBSD появились признаки поддержки 802.11n?

    Author: sam <sam@FreeBSD.org>
    Date:   Sun Apr 20 20:35:46 2008 +0000
    Author: sam <sam@FreeBSD.org>
    Date:   Wed Jun 10 03:35:40 2009 +000
    Author: sam <sam@FreeBSD.org>

    А знает ли Великий, в чем прикол?
    https://www.freebsd.org/doc/en/articles/contributors/contrib-develalumni.html
    Sam Leffler <sam@FreeBSD.org> (2002 - 2010)
    https://github.com/torvalds/linux/search?utf8=%E2%9C%93&q=leffl

     
  • 3.39, Добрый Дохтур (?), 16:33, 14/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > +Supported features include 802.11n, power management, BSS,
    > +and host-based access point operation modes.
    > +All host/device interaction is via DMA.

    а как там с 802.11ac?

    про что-то более-менее интересное с фильтрацией спрашивать не буду, очевидно что не умеет.


     

  • 1.15, Аноним (-), 13:50, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Блин, фаервол на 350МБ. Дожили.
     
     
  • 2.16, Azaza (?), 14:10, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Фаервол с пхп и бутстрапом.
     
  • 2.18, фыва2 (?), 14:13, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ipfire 160мб..
     
     
  • 3.19, Аноним (-), 14:20, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    у него клинило прокси с включенной антивир. проверкой года 2-3 назад.
     
  • 2.25, Аноним (-), 14:58, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё 1 гибибайт памяти (и той, и другой) в требованиях. Плохо сделали, не нужно.
     
  • 2.37, Аноним (-), 10:47, 14/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    просто отставлю это здесь http://www.freesco.org/index.php?id=o
     
     
  • 3.40, Дум Дум (?), 17:07, 14/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > просто отставлю это здесь http://www.freesco.org/index.php?id=o

    Жив ли? Version 0.4.5 (2014-03-30) http://freesco.sourceforge.net/

     
  • 2.43, Nick (??), 14:19, 19/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Cisco IOS XR уже за два гига перевалил и это без ПХП :)
     

  • 1.17, Штунц (?), 14:11, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    кстати, оказывается продаются железки с предустановленным pfSense, вот например:
    https://de.allyouneed.com/de/~varia-group/pfsense-komplettsystem-mit-alix-2d13
     
     
  • 2.21, u (?), 14:26, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Там внутри одноплатник Alix 2d13 с процом х86. У меня на такой обычная FBSD.
     
  • 2.24, Аноним (-), 14:52, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Внезапно pfsense не благотворительная организация и продаёт железо и поддержку https://www.pfsense.org/products/ .
     

  • 1.28, _ (??), 18:45, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хороший софт. Только в путь утилизировать старьё на фаеры для мелочи.
    У меня с ним только две проблемы:
    - (мелкая) после добавления сетевых карт - оно их перенумеровывает 8-) Но так как у меня все ходы записаны (MAC), не смертельно ...
    - Со всем что после 2.2.4 не работает яблочный (OSX) встроенный VPN клиент (ipsec). Шоу-стоппер для меня, у нас дезигнеры и прочие кисо юзающее ябблы любят работать из дому ...
    Попробую конечно этот новый релиз сбоку от продакшена. А вдруг ...
     
     
  • 2.44, slalus (?), 15:49, 19/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > - Со всем что после 2.2.4 не работает яблочный (OSX) встроенный VPN
    > клиент (ipsec). Шоу-стоппер для меня, у нас дезигнеры и прочие кисо
    > юзающее ябблы любят работать из дому ...
    > Попробую конечно этот новый релиз сбоку от продакшена. А вдруг .

    на маке можно воспользоваться https://tunnelblick.net/

     

  • 1.35, Аноним (-), 21:51, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В новой версии нет пакета BIND DNS Server.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру