The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск дистрибутива для создания межсетевых экранов OPNsense 21.1

31.01.2021 10:04

Представлен новый выпуск дистрибутива для создания межсетевых экранов OPNsense 21.1, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (421 МБ).

Базовая начинка дистрибутива основывается на коде HardenedBSD, поддерживающем синхронизированный форк FreeBSD, в который интегрированы дополнительные механизмы защиты и техники противодействия методам эксплуатации уязвимостей. Среди возможностей OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.

В дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.

Среди изменений:

  • Предложены новые правила пакетного фильтра и категории трансляции адресов.
  • Обновлено оформление графиков с визуализацией трафика. Добавлена поддержка отображения трафика IPv6.
  • Добавлены инструменты для управления правилами для системы обнаружения вторжений.
  • Добавлена функция назначения псевдонимов MAC-адресам.
  • Добавлена поддержка NAT поверх IPsec.
  • В загрузочном образе "serial" добавлена поддержка UEFI.
  • Улучшена работа плагина с поддержкой VPN WireGuard.


  1. Главная ссылка к новости (https://forum.opnsense.org/ind...)
  2. OpenNews: Доступен дистрибутив для создания межсетевых экранов OPNsense 20.7
  3. OpenNews: Релиз дистрибутива для создания межсетевых экранов IPFire 2.25
  4. OpenNews: Закрытие проекта m0n0wall и возрождение CrunchBang
  5. OpenNews: Первый выпуск дистрибутива SmallWall, продолжившего развитие проекта m0n0wall
  6. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.4.5
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/54497-opnsense
Ключевые слова: opnsense, pfsense
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:25, 31/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Отличный проект! Удачи и развития ему. Долго думал перенести на него vpn кластер, да никак не могу отказаться от консоли, плюс вместо pf использую ipfw
     
  • 1.2, Аноньимъ (ok), 12:03, 31/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Пользуюсь уже пару лет. Очень доволен. Гуишка постепенно дорабатывается.
     
  • 1.3, Аноним (3), 12:14, 31/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –16 +/
    Слабый пакетный фильтр. Надо переходить на nftables. Во FreeBSD пакетный фильтр практически не развивается.
     
     
  • 2.4, Аноньимъ (ok), 13:05, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Слабый и недостаточно высокий. Другое дело nftables, сильный и круглый.
     
     
  • 3.6, Аноним (6), 14:00, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А мне нравится, когда фильтр красный и с лёгкими нотками кофе.
     
     
  • 4.8, Аноньимъ (ok), 14:29, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А мне нравится, когда фильтр красный и с лёгкими нотками кофе.

    Вот поэтому я ipfw использую.

     
  • 2.5, OpenEcho (?), 13:18, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если быть чуть более внимательней, то можно увидеть что nftables уж очень обезьяничает "Слабый пакетный фильтр" pf
     
  • 2.7, псевдонимус (?), 14:14, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот ещё этого наркоманкой поделив не хватало.
     
     
  • 3.26, Аноним (-), 21:14, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вот ещё этого наркоманкой поделив не хватало.

    Не пишите под веществами на форумы. Вместе с вашей наркоманкой.

     
  • 2.9, samm (ok), 15:55, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ...и скучные правила?
     
  • 2.10, Ivan_83 (ok), 02:05, 01/02/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Надо переходить к состоянию системы когда никакие фильтры и фаирволы не нужны в принципе.

    Я не про открытую всем желающим систему, а про систему где by design фильтрация не требуется.

    Все локальные сервисы генерируют ответы только с ttl=1 и они дальше роутера не улетают, а публичные достаточно надёжны чтобы не было необходимости как то ограничивать к ним доступ фаерволом.

    Я это пишу потому, что у меня при политике "запретить всё кроме нужного" и при политике "разрешить всё кроме вот этого мусора" получаются довольно внушительные списки правил, и с годами они только увеличиваются.
    Уже сейчас я понимаю что пора начать документировать правила, потому что я не помню нафига нужны все те порты что я разрешил, и что там у меня за подсети прописаны.
    И это у меня дома.
    В огранизациях ситуация должна быть ещё хуже, либо там одмин развёл помойку которая живёт своей жизнью и он реально ничего ни то что не контролирует но и не подозревает.

    Что касается фаеров, у меня pf.
    Функционал от ipfw отличается не так чтобы сильно.
    Чего бы там в nftables не было, это всего лишь ещё один синтаксис для описания правил и не более того.
    Развивать там нечего, сети за последние 20 лет не изменились принципиально.

     
     
  • 3.11, Аноньимъ (ok), 02:16, 01/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Поддерживаю направление мысли.

    Но тема сложная.
    И корнями уходит в ip протокол и плохой дизайн многих сетевых приложений (вроде использования разных портов для данных и управления)

    И сложно уже что-то с этим поделать сегодня.

     

  • 1.12, pofigist (?), 09:29, 01/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Вот интересно - опенсорс дозреет когда-нибуть до нормального фаервола а-ля Cisco ASA?
    Идея - проста, незатейлива и вообще-то гениальна же...
     
     
  • 2.13, tonys (??), 10:05, 01/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не дозреет. Где есть деньги не проблема купить киску, а где нет денег нет и задач с которыми не справится opnsence и иже с ними.
     
  • 2.15, Ivan_83 (ok), 11:52, 01/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ещё бы знать что там такого особенно в вашей киске, чтобы это стоило потом тащить куда то ещё.
     
     
  • 3.16, наме (?), 12:51, 01/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ей можно управлять при помощи аааайфооона. сам видел. (они пока еще не нашли на этом гаджете браузер, чтобы что-то, помимо UI asa, открывать)
     
  • 3.17, pofigist (?), 18:35, 01/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну возьми GNS3 и посмотри - образы Cisco ASA для нее есть готовые. Благо это не MIPS, а старый добрый х86...
    Кратко - в кошках есть:
    1. Офигенная документация. Вот реально - лучшая.
    2. Офигенно удобный язык управления. Простой, логичный и интуитивно понятный - для тех кто изучил конфигурируемый протокол.
    3. Их сертификация - единственная из полезных. Ибо учат работать с сетью, а не с оборудованием.
    4. Гадкий, глючный и дырявый веб-интерфейс, который можно и нужно отключить в первую очередь.
    5. Одно из лучших соотношений цена/качество. Есть железо и дешевле, но г-но (например микротык), есть железо и лучше, но существенно дороже...
    6 Конкретно ASA ещё интересна тем, что это NAT-device (не путать с недо-NAT-ом в мыльницах!) и соответственно целые классы атак, хорактерные для классических фаерволов, на ней не работают в принципе
     
     
  • 4.19, Аноним (19), 12:25, 03/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >4. Гадкий, глючный и дырявый веб-интерфейс, который можно и нужно отключить в первую очередь.

    Это не тот, которым рекомендуют пользоваться на официальных курсах по подготовке к пункту 3?

    >2. Офигенно удобный язык управления. Простой, логичный и интуитивно понятный - для тех кто изучил конфигурируемый протокол.

    Какая версия лучшая то? До того, как они её полностью поменяли или после?

     
     
  • 5.20, pofigist (?), 14:11, 03/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну согласен - я смешал в одну кучу всех кошек, ASA, ISR, Catalist... Много их - факт.
    ADSM - пользавать можно и нужно, та херня, что ставится на ISR-ы и каталисты - не нужна.
    Старый язык управления асой - давно пора забыть, это тяжёлое наследство пиксов. Ты ещё вспомни изначальный язык управления каталистами...
     
     
  • 6.21, Аноним (19), 15:46, 03/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >та херня, что ставится на ISR-ы и каталисты

    Фублин! А вдруг я за едой это читаю?!

    >Старый язык управления асой - давно пора забыть

    Почти во всех мануалах по ASA есть настройки до и после 8.3

     
     
  • 7.22, pofigist (?), 19:31, 03/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати последние варианты уже гораздо лучше - не требуют жабы и ie5... И конфиги генерят не такие страшные...😁
    Не ну серьезно - уже почти работают. Ещё лет 20... Хотя конечно это не отменит их ненужности.

    Мне вот интересно - а вообще-то остались асы с 8.3, которые ещё не End of Life?

     
  • 4.23, Ivan_83 (ok), 08:34, 04/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В том то и дело что я не хочу трогать кошатину, мажевельщину или прочие поделия.

    1. В опенсорсе есть и документация и исходный код, для тяжёлых и не понятных случаев.
    2. И этот ваш сектансткий язык никому за пределами не нужен и не понятен.
    3. Учат может и работать с сетью, но опять же на своём сектанстком языке всё называют.
    4. Те даже вебморду не осилили сделать? :)
    5. Хз, в сортах и ценах каках не разбираюсь :)
    6. NAT - давай досвидания, IPv6 уже тут, /64 на рыло каждому!
    Опять же, эти все атаки - в основном в головах маркетологов, которые эту кашатину впаривают.
    Я уже писал раньше - достаточно поставить ттл=1 на локальные сервисы и можно вообще больше ничего не фильтровать, а вы всё про чудонат впариваете.

    Мокротики мне тоже не нравятся, если что, в основном своими адептами - фонатиками, превозносящими их до небес, впрочем тут от фонатов других вендоров отличий нет.

     
     
  • 5.24, pofigist (?), 11:20, 04/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    То есть ты не хочешь знать сети и уметь с ними работать. Твои проблемы, уволен! :)

    1. Это было давно и неправда. На данный момент опенсоурсные продукты обычно не имеют приличной документации от слова совсем.
    2. Этот язык - стандарт де факт в управлении сетевыми устройствами.
    3. Еще раз - других нормальных языков управления и конфигурирования сетевых устройств просто нет. И быть не может.
    4. Веб-морда - не нужна. Нормально написанный конфиг на нормальном языке - более понятен и нагляден.
    5. То что ты не разбираешься в сетях - очевидно.
    6. БЛИН!!!! Тебе ламеру сказали - не путай не недоNAT-ом из китайских мыльниц под линаксом!

    > Я уже писал раньше - достаточно поставить ттл=1 на локальные сервисы и можно вообще больше ничего не фильтровать, а вы всё про чудонат впариваете.

    Ламар - он и есть ламер. :) Твое решение местами работает только в плоской сети, которую используют только одиночный ларек, торгующей шавермой. Если это хотя бы два ларька - оно уже не работает! Более того - такая "защита" обходится на раз-два ибо защитой - не является.
    Учи матчать! Сдай хотя бы CCNA чтоб не нести такую чущь.

     
     
  • 6.25, Ivan_83 (ok), 16:41, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так я не одмин, я со стороны вендоров, кто наваливает админам работы :)

    1. Дело в том, что тот же PF за последние 10+ лет почти не изменился, документации там всякой простой навалом. Аналогичное другие опенсорсные фаеры.
    2. Я про терминологию, у кошатников многие вещи называются своми словами, которые как минимум у других вендоров или имеют другой смысл или вещь называется по другому.
    3. Понятно-понятно, у фонатов всегда так.
    4. Вебморда нужна, потому что не все мутанты-кошатники обмазанные сертификатами. Я вот купил свич управляемый и клал я с прибором на вендора с его кли и прочим, я это даже за доплату знать не хочу.
    Я хочу взять и настроить с гуя базовый функционал.
    5. Да да, совсем-совсем не разбираюсь.
    6. Божественный нат от кошки...ммм :) ну да, конечно.

    У схемы с ттл=1 конечно есть свои недостатки, но как минимум в случае TCP вам всё равно потребуется искать прокси уже внутри сети, чтобы подключится, или ломать девайс который фаером и завставлять его проксировать или переписывать ттл.

    Нет, мне ваши кошачьи знания даром не нужны, я не собирался и не собираюсь кошкам хвосты крутить за зарплату.

     
     
  • 7.27, pofigist (?), 14:53, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1. Это ты называешь документацией?! Это так - свалка заметок на манжетах, а не доки.
    2. Нет дорогой, терминология кошки - стандартная для сетевых вещей. Это у линуксоидов с ней бардак.
    3. То есть возразить - ничего не можешь. Понятно.
    4. Веб-морда - не нужна, более того - она вредна. Ибо позволяет всяким неучам лазить в железо, а потом разбирайся что они там с QoS наворотили от полного непонимания как оно работает. Управлять сетью - это вам не код писать, тут ламерам не место.
    5. Да не разбираешься. И это - очевидно.
    6. То есть ты просто не знаешь что такое NAT, как он работает и для чего нужен и судишь о нем по его калечной реализации в китайских мыльницах под линаксом. Почитай доки для начала.

    > У схемы с ттл=1 конечно есть свои недостатки

    Самый главный из которых - она просто не работает. Скачай, сделай сеть, проверь и убедись сам - https://github.com/GNS3/gns3-gui/releases

    > Нет, мне ваши кошачьи знания даром не нужны, я не собирался и не собираюсь кошкам хвосты крутить за зарплату.

    Если ты не работаешь в ИТ - то да, не нужны.

     
  • 6.29, пох. (?), 15:23, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. Это было давно и неправда. На данный момент опенсоурсные продукты обычно

    никогда не было. Ты просто опоздал родиться и не застал истеричных воплей л@...нувыпонели разработчиков в адрес автора lartc. Что он все неправильно и непонял, и пусть перепишет и им с поклоном подаст.

    Разумеется, сами они ничего не написали вообще.

    > 2. Этот язык - стандарт де факт в управлении сетевыми устройствами.

    какой, с-ка, из пяти?!

    > 3. Еще раз - других нормальных языков управления и конфигурирования сетевых устройств
    > просто нет. И быть не может.

    мне почти нравился huawei. Правда, я ни разу не видел их фиревола - а он у них, меж тем, есть. И, кажется, ng. Не удивлюсь, если там совсем другой cli.

    > 4. Веб-морда - не нужна. Нормально написанный конфиг на нормальном языке -

    вебморда для другого нужна. Там была пара очень интересных графиков. Снимать которые внешней мониторилкой будет немного сложно.
    Отдельно расскажи как собрался управлять каким-нибудь ssm20 без вебморды. У него вообще-то тоже есть cli, но такой, что лучше б его не было.

    > Учи матчать! Сдай хотя бы CCNA чтоб не нести такую чущь.

    и чем ему зазубренные на память маски от /2 до /31 помогут не нести чушь?


     
     
  • 7.30, pofigist (?), 16:03, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    1. Ну скажем так - одно время коммерсы вообще забивали на документацию, а опенсоурсники - что-то писали.
    2. Ты что считаетешь что коммутаторы и маршрутизаторы имеют разный язык? Про ХЕ - это просто развитие языка управления, следующая версия если хочешь. :) А так - они все настолько просты и схожи, что имхо не стоит того чтоб заморачиваться различиями. "Оригинальные" версии языков каталистов и пиксов - давай не будем поминать, ок?
    3. Да он другой на уровне отличия pascal-modula-oberon, разница конечно есть, но если знаешь один - знаешь их все.
    4. Мониторинг - ок. А вот то что фаерволами и прочими IDS/IPS без гуя управлять тяжело - факт. Но тут проблема немного в другом.

    > и чем ему зазубренные на память маски от /2 до /31 помогут не нести чушь?

    Зазубренные - ничем. А вот если он их начится быстро считать в уме - другое дело, не будет путаться на ровном месте. :)

     
     
  • 8.31, пох. (?), 21:56, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    мифы и легенды опеннета, том хз какой я считаю что ты в цисках практически не ш... текст свёрнут, показать
     
     
  • 9.33, pofigist (?), 13:34, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, конечно же И ты утверждаешь что я ничего не понимаю в кошках, если это т... текст свёрнут, показать
     
     
  • 10.36, пох. (?), 14:46, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    я что-то не вижу ответа И да, на всякий случай, это серия switchfabric там в н... большой текст свёрнут, показать
     
  • 8.32, пох. (?), 21:59, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не научится, не дают на ccna exam времени считать в уме Надо сразу помнить, ина... текст свёрнут, показать
     
     
  • 9.34, pofigist (?), 13:37, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так надо считать быстро - у меня это получается автоматом Маску вижу число еде... текст свёрнут, показать
     
     
  • 10.35, пох. (?), 14:09, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    распределите адреса 179 12 192 0 на семь приблизительно равных подсетей, выбрав ... текст свёрнут, показать
     
  • 2.28, пох. (?), 15:16, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот интересно - опенсорс дозреет когда-нибуть до нормального фаервола конца 90х годов прошлого
    > века а-ля Cisco ASA?

    поправил, не благодарите. К сожалению, он его уже перезрел - был у нас почти такой, в те самые поздние 90е, ipchains называлсо. Некоторых приятных мелочей не хватало, но в общем уже не особо страдали им пользуясь.

    > Идея - проста, незатейлива и вообще-то гениальна же...

    расскажите, почему генитальная идея старательно калечит соединения по https на высокие порты? Причем каким-то образом ухитряясь в него влезть без каких либо явных и неявных указаний это делать.
    (то есть помогает только полиси с _явным_ запретом вообще любых fixup'ов - а это непросто и неудобно, потому что глобальная политика у нас только одна, и она может быть уже чем-то занята)

    Я видел эту проблему в 2007м, с версией хорошо если не 6, я видел эту проблему в 2016м с версией 9, я уверен что увижу ее если где-то украду и самую распоследнюю версию.

    Ну и точно ли "нормальна" простыня правил без иерархии и с permit задом-наперед ?

    Я вот не могу даже сказать, от чего больше блевать тянет - от циски с ее простыней и dnat задом-наперед, или от недоделанных iptables, где чего ни хватишься, ничего не доделано и уже не будет.

    Ну, понятно, то и другое - прошлый век. В циске сегодня моден firepower, у л@п4-тых (запрещенные на опеннете безграмотные истерички) какой-то вообще нечеловекочитаемый трэшак непонятно для чего и кого.

    bsd как всегда позади планеты всей, застряв не в 90х а где-то в 80х, откуда родом их ужасный синтаксис и простыни без структуры (но смотри не перепутай порядок правил!) - во всех трех возможных вариантах.

     

  • 1.14, Аноним (14), 11:15, 01/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Межсетевой экран это типа брандмауэр?
     
     
  • 2.18, MoHaX (ok), 06:22, 03/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, это типа фаерволл.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру