Увидел свет (https://www.netgate.com/blog/pfsense-2-4-0-release-now-avail...) релиз компактного дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.4.0 (http://pfsense.org). Дистрибутив основан на кодовой базе FreeBSD с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно (https://www.pfsense.org/download/) несколько образов для архитектуры amd64, размером от 300 до 350 Мб, включая LiveCD и образ для установки на USB Flash.Управление дистрибутивом производится через web-интерфейс. Для организации выхода пользователей в проводной и беспроводной сети может быть использован Captive Portal, NAT, VPN (IPsec, OpenVPN) и PPPoE. Поддерживается широкий спектр возможностей по ограничению пропускной способности, лимитирования числа одновременных соединений, фильтрации трафика и создания отказоустойчивых конфигураций на базе CARP. Статистика работы отображается в виде графиков или в табличном виде. Поддерживается авторизация по локальной базе пользователей, а также через RADIUS и LDAP.
Ключевые изменения (https://www.netgate.com/blog/pfsense-software-version-2-4-re...):
- Компоненты базовой системы обновлены до FreeBSD 11.1 (https://www.opennet.dev/opennews/art.shtml?num=46920) (в прошлой ветке использовался FreeBSD 10.3);
- Прекращено формирование сборок для 32-разрядной архитектуры x86 (i386). Также прекращено создание сборок на базе NanoBSD;
- Представлен новый инсталлятор, основанный на коде bsdinstall и предоставляющий поддержку ZFS, UEFI и несколько типов раскладок дисковых разделов (GPT, BIOS);
- Поддержка ARM-устройств Netgate, таких как SG-1000;
- Поддержка OpenVPN 2.4.x с шифром AES-GCM;
- Поддержка интернационализации в Web-интерфейсе, который теперь доступен в переводах на 13 языков, включая русский;- Внесены изменения в WebGUI: новое оформление входа, дополнительная защита от CSRF-атак, существенно переработанная сводная панель и расширенное применение Ajax для обновления данных без перезагрузки странниц;
- Новые возможности управления сертификатами, включая создание CSR-подписей;
- Переписан Captive Portal.
URL: https://www.netgate.com/blog/pfsense-2-4-0-release-now-avail...
Новость: http://www.opennet.dev/opennews/art.shtml?num=47383
The best.
Вот блин, жаль, что x86 Прекращают. Куда теперь девать мой древний аквариус, на котором pfSence хорошо прижилось, эх.
работает - не трогай
32-bit x86 hardware can continue to run pfSense software version 2.3.x, which will receive security updates for at least a year after pfSense 2.4.0-RELEASE.Еще год можно не беспокоиться, а там может и сам сдохнет. :-)
> Еще год можно не беспокоиться, а там может и сам сдохнет. :-)а не сдохнет - пересобрать новое ведро или обновить порт шибко-нужного vpn'а тоже невеликая задача (за стандартную таксу $35/час готов помочь неосиляторам), а если у вас ейный уеб-интерфейс в недоверенные сети торчит, то можно и десять лет не беспокоиться, поздно уже.
> а если у вас ейный уеб-интерфейс в недоверенные сети торчит, то можно и десять лет не беспокоиться, поздно ужеТы наконец-то прочитал инструкцию к своему роутеру? Теперь спешишь со всеми поделиться?
> Ты наконец-то прочитал инструкцию к своему роутеру? Теперь спешишь со всеми поделиться?Ему просто зажали 35 баксов в час в его помойке, вот он и пытается с лохов срубить.
Оpnsense же есть
на x86 можно воткнуть openwrt
Отличный продукт. К железу не требователен. У меня работает уже 7 лет в корпоративной сети. Нареканий нет. По функционалу, даже больше чем мне потребовалось за это время.
>Отличный продукт.Это - да. Кстати в команде есть наши люди :)
>К железу не требователен.Это смотря что из пакетов ты захочешь. Захоти снорта - сам увидишь :)
>У меня работает уже 7 лет в корпоративной сети.Самый стандартный рассказ про pfSense :) Потому что
>Отличный продукт.
> Переписан Captive Portal.Вот это настораживает. Работал нормально. Сейчас как?
Кто-нибудь может пояснить, почему эта штука по умолчанию меняет порт при исходящем соединении из внутренней сети?
Например 192.168.0.2:1234 занатится например в 194.194.194.194:16805, а не в 194.194.194.194:1234. Назло? Я понимаю, что можно сделать DNAT или сказать ей "static port", но зачем?!Почитайте: https://doc.pfsense.org/index.php/Static_Port
Первый абзац - просто бред. Мы придумали проблему и героически решаем. NAT - это нестандартизированный костыль для решения проблем с исчерпанием адресов ipv4, это не средство для организации безопасности. NAT не отменяет и не заменяет собой настройку остальной части фаервола.С SIP - это просто анекдот. Сначала ой, а потом и хрен с ним. Не понятно почему только 5060 UDP. Траспорты и порты-то разные бывают. Вот из-за нестандартизированности NAT и вот таких вот невменяемых утырков-разработчиков бывает односторонняя слышимость. Поведение по умолчанию в pfsence ломает некоторые реализации rfc3851 и вынуждает использовать rfc5389. Ладно хоть ALG не подняли по умолчанию и на том спасибо.
Для тех кто не в курсе, их куцее эссе в документации намекает "включайте static port, меняете default, если у вас там оборудование или софт с поддержкой SIP, но при этом не первой свежести". Учитывая, что asterisk до версии 11 страдал от такого кривого дефолта, аргумент "мало кому надо" тут не прокатит.
https://ru.wikipedia.org/wiki/NAT . Там всё написано. По умолчанию почти все дистрибутивы linux используют Перегруженный NAT.
> Кто-нибудь может пояснить, почему эта штука по умолчанию меняет портпотому что "эта штука" не наттер, на замену сдохшего длинка-за-пиццот-рублей из выброшенного добрым начальником из кладовки старого компьютера от сбежавшей бухгалтерши чтоб-и-пиццот-тоже-не-платить, а недофайрвол/ids в одном флаконе. Взрослые большинству не по карману.
> Почитайте: https://doc.pfsense.org/index.php/Static_Port
> Первый абзац - просто бред. Мы придумали проблему и героически решаем.они ее не придумали. Они ее решали, как могли.
> NAT - это нестандартизированный костыль для решения проблем с исчерпанием адресов ipv4
ох... очередной опоздавший родиться. Рассказываю: nat изобрели в те далекие-далекие времена, когда фуфел с якобы "исчерпанием" ipv4 еще и на горизонте не маячил.
И придумали его именно от нежелания светить потроха организации наружу, а вовсе не для экономии адресов (они еще и ARIN-assigned могли быть по ту сторону ната, потому что сначала их раздали, а потом "не менять же всем адреса").Более того, несмотря на неимоверные усилия этому помешать от бесноватых комитетчиков, вполне уже существуют реализации 6to6 nat.
> это не средство для организации безопасности. NAT не отменяет и не
> заменяет собой настройку остальной части фаервола.пока ты считаешь "файрволом" пакетный фильтр - без нат никакая настройка тебе не поможет. Почему - в той статье, которую ты не осилил прочитать.
> С SIP - это просто анекдот. Сначала ой, а потом и хрен
> с ним. Не понятно почему только 5060 UDP. Траспорты и порты-тов сферическом вакууме. А в интернетах за пределами корпоративных бордеров - уже не бывают. И не только из-за натов, а из-за чудовищной гнилости всего sip-мирка
> разные бывают. Вот из-за нестандартизированности NAT и вот таких вот невменяемых
> утырков-разработчиков бывает односторонняя слышимость.а точно не из-за того что утырки-телефонисты не предусмотрели в своем чудо-протоколе тривиальнейших вещей, зато понапридумывали кучу неотключаемых автоугадаек вместо нормальных настроек? А потом скулят что "alg не работает". Конечно не работает, вы же сами и сломали.
(вы не поверите, эти существа прописывают RFC1918'ые сети в отдельный фильтр, прямо в коде своих поделок - типа, обнаружив у себя такой адрес, включаем отравляющий газ. Что nat бывает, ну надо же, и на public адресах, а бывает еще и такой хитрый трюк, как натируемые и паблик сегменты, видящие друг-друга без трансляции - этим наивным детям декадно-шагового оборудования никто не рассказал)> что asterisk до версии 11 страдал от такого кривого дефолта, аргумент
> "мало кому надо" тут не прокатит.asterisk мало кому надо, да. Правда, с class4 все точно так же плохо (только еще и за нереальные деньги)
Как же тебя жалко... Живёшь в гнилых мирках, где кругом одни утырки и со всем всё плохо.
> Как же тебя жалко... Живёшь в гнилых мирках, где кругом одни утырки и со всем всё плохо.ну же, гость из параллельного мира единорогов, какающих бабочками - как у вас там работает ip-телефония? (не "я вчера настроил по найденным в гугле инструкциям десятилетней давности, кстати, через час меня по таким же древним поломали, целый один астериск на три софтфона", а для взрослых - пара десятков пиров, десятки тыщ корпоративных клиентов с хз чем и за хз чем, при продолбе - в дырку утекают пара миллионов денег.)
С интересом послушаю историю вашей всеобщей любви и обожания тех прекрасных волшебников, кто все это придумал.
А то у нас тут такая любофф, что при детях и рассказать нельзя, волшебник с чемоданом инструментов для садо-мазо - какая-то очень недетская сказочка.
Такой недетский линукс..
> как у вас там работает ip-телефония?Просто прекрасно работает!
Есть несколько способов защититься от этого:
1. Firewall с ACL, если там 3 софтфона и аст.
2. Fail2ban, если клиенты тоже могут быть во внешке и процессорные ресурсы позволяют.
3. Бордерконтроллер, программный или аппаратный. Тут вариантов много. Кто-то покупает, кто-то собирает свою SBC на связке Kamailio+freeswitch. Кто-то делает всю фильтрацию на kamailio и диспетчером кидает на асты. Кто-то выносит оттуда медиа на отдельные сервера.> А то у нас тут такая любофф, что при детях и рассказать нельзя, волшебник с чемоданом инструментов для садо-мазо - какая-то очень недетская сказочка.
Там всё сложно потому что сама задача сложна.
Представь себе ситуацию когда собралась видеоконференция из 5 человек, которые во время разговора пишут в чат и передают друг другу файлы. Всё это можно сделать на одном лишь sip, но можно и без него (webrtc). Причем в этой задаче у одного двойной нат, у второго симметричный нат (он пошел через релей) у третьего UPnP у четвертого внешний IPv6, но они с пятым сидят в одной локалке IPv4. Цель: p2p-соединение с минимальными задержками, динамической сменой кодеков при передаче медиа. Ну... как? Сможешь выдать решение которое лучше чем весь "sip-мирок"?
не кормите троля!хотя в отношении sip я с ним, отчасти, согласен... и не только я, ибо именно из за "особенностей" sip'а разработчики asterisk и придумали iax
Разработчики asterisk просто используют SIP не по назначению.
> Есть несколько способов защититься от этого:ну есть много костыликов и подпорочек, ага. А надежных способов - кроме дорогущих ng-firewall'ов что-то не просматривается.
то что вы называете файрволом, а на самом деле является пакетным фильтром (какие еще "state" в udp, вы о чем?) не защитит от банального потока фейковых udp пакетов на ваш любимый 5060 - надо только подобрать ip, которому вы уже открыли ротик, жрать все что прилетит, дальше - от вмешательства в связь, до remote code exec (продукция телефонистов такая "надежная", аж слезы). Рандомизация портов делает эту и схожие (поскольку кроме единственного освоенного вами, есть еще мильен с тыщами udp-based протоколов) дырки более-менее прикрытыми, потому что идея подбирать одновременно и адреса и порты увеличивает требуемый поток в десятки тысяч раз, сильно усложняя задачку. Разумеется, это тоже костылик, и предназначено оно для нище...мелких клиентов, неспособных оплатить коммерческие решения (потому что открытых, увы, не будет)
При этом большая часть того мильена с тыщами написана уже в XXI веке, когда, наконец-то, догадались, что существуют наты и другие обстоятельства, и не надо совать внутрь протокола адреса endpoint'ов, а надо брать их либо из адреса в приходящем пакете, либо с внешнего источника. А в (распространенной) телефонии все переизобретают ftp, только еще и поверх connectionless-протоколов.
А потом - тут поломали, там таджик-телеком завелся, и речь не о наколеночных поделках на полтора абонента, а об операторах, у которых, в теории, должен быть и грамотный персонал, и хорошее железо.
> Там всё сложно потому что сама задача сложна.
потому что неверно поставлена. Вам на самом деле нужны вовсе не p2p и "минимальные задержки" - это уже решение, неправильно поставленной задачи. Вам нужны _приемлемые_ задержки - пока вы вообще можете их сохранить приемлемыми (разговор со штатами все равно не будет таким же как с соседней комнатой) и низкий уровень джиттера (я уж не говорю про потери, которых тоже только у розовых единорогов в сетях нет) - что вовсе необязательно достигается прямым соединением всех со всеми. Просто "тут так принято" и вряд ли изменится в ближайшие сто лет, после попадания скайпа в руки индусов.
> то что вы называете файрволом, а на самом деле является пакетным фильтром...Бегемоты и гиппопотамы.
> Рандомизация портов делает эту и схожие (поскольку кроме единственного освоенного вами, есть еще мильен с тыщами udp-based протоколов) дырки более-менее прикрытымиНет, не делает. Сколько бы ты не пытался мне это рассказать, сколько бы яда не выплюнул, никакой NAT и случайный выбор порта тут никому не поможет от спуфинга, тем более от спуфинга UDP. И телефония тут вообще не причём. Может приведешь доказательства, а то утырки из pfsence тоже не смогли их привести.
> Разумеется, это тоже костылик, и предназначено оно для нище...мелких клиентов, неспособных оплатить коммерческие решения (потому что открытых, увы, не будет)Не надо врать. pfsence - дорогое решение по сравнению с тем же mikrotik и аналогичным линукс-решениям. Сам pfsence бесплатен, но толст и требователен к оборудованию.
> потому что неверно поставлена. Вам на самом деле нужны вовсе не p2p и "минимальные задержки"...Она поставлена верно. Ты не можешь загнать всё медиа на сервер и гнать всё через него в общем случае, поэтому p2p. Любые серверные решения с релеями медиа делаются только с учётом географии и также могут являться частью p2p звонка. Чисто клиент-серверное решение при передаче медиа просто не бывает. Что касается демагогии насчёт минимальных и приемлемых, джитера, потерь и скайпа - это пустая болтовня и показатель твоей неграмотности. Если ты считаешь, что сможешь внятно описать свою идею чисто клиент-серверной телефонии, я с удовольствием почитаю тут твои идеи. Но что-то в нашей предыдущей переписке заставляет меня сомневаться в твоих возможностях. Не могу понять что.
> они ее не придумали. Они ее решали, как могли.Нет придумали. Никакими заменами портов в NAT от спуфинга не защититься.
> nat изобрели в те далекие-далекие времена, когда фуфел с якобы "исчерпанием" ipv4 еще и на горизонте не маячил.Враньё! rfc1597 и rfc1631 датируется 1994-м годом, до этого и были разговоры об исчерпании ip-адресов еще в начале 90-х, потому что каждой конторе выдавалась AS как минимум с префиксом /24 и в 93-ем придумали CIDR (rfc1519). Всё остальное что ты написал - твоя неграмотность. А про ipv6, ты часом с NPTv6 не перепутал ли, хотя и тот еще не утвердили.
> А в интернетах за пределами корпоративных бордеров - уже не бывают. И не только из-за натов, а из-за чудовищной гнилости всего sip-мирка.Есть провайдеры отдающие sip через TLS. Есть корпоративные решения работающие целиком в публичном интернете. Есть смешанные решения с бордерконтроллерами. Если ты чего-то не видел, не значит что этого нет. Не удивительно... раз у тебя NAT как средство защиты от спуфинга, то и sip-мирок гнилостный. Иконы в машину повесил? К попам отвёз?
> пока ты считаешь "файрволом" пакетный фильтр - без нат никакая настройка тебе не поможет. Почему - в той статье, которую ты не осилил прочитать.
Под "файерволом" я считаю statefull firewall с ACL. Их много разных в мире есть. Они восхитительно работают и с NAT, и без NAT.
> тривиальнейших вещей, зато понапридумывали кучу неотключаемых автоугадаек вместо нормальных настроек? А потом скулят что "alg не работает". Конечно не работает, вы же сами и сломали.
Установка p2p сессии между двумя клиентами с переменным количеством портов случайно выбираемых из диапазона - всегда нетривиальная вещь. Это вам не торрент с одним TCP-портом. Тут даже DNAT большого ренджа в некоторых случаях вреден. А что такое ALG вы, боярин, тоже не знаете. Это еще один уровень костылестроения уже над NAT. В случае SIP ALG роутер меняет внутреннее содержимое SIP пакетов по своему велению. На что он что там меняет зависит от желания вендора. Он и не должен работать никогда. Самое веселое КАК это работает. Он просто смотрит, что там словарный порт 5060 в src/dst и лезет туда что-то править. В SIP для этого есть роль b2bua, которая делает это по-человечески, собственно бордерконтроллеры. Вообще, все твои неудачи и беды с SIP лечатся образованием и медикаментами.
> потому что "эта штука" не наттер, на замену сдохшего длинка-за-пиццот-рублей
Cisco ни роутеры, ни ASA, ни микротик не меняют порты, а вот pfsence меняет и аргументов за это кроме как "бывает в жизни спуфинг и мы приложили подорожник" не дают. Да, эта штука не глупый домашний роутер, но это не снимает моего вопроса по поводу рандомизации портов на роутере.
>> …этим наивным детям декадно-шагового оборудования никто не рассказал)Не ругайте пианиста — он играет, как умеет. Они просто хотели автоматизации для пролетариев всех стран. Декадно-шаговой.
> Не ругайте пианиста — он играет, как умеет. Они просто хотели автоматизации для
> пролетариев всех стран.ну, в общем-то, кроме них никто и не захотел - ничего лучшего чем sip, мы так и не получили за многие годы.
Поэтому странно что там выше анон ругает астерисков - де используют не по назначению. Как будто им было что еще использовать.
sccp запатентован циской, и ничем, по-моему, не лучше. h323 не для этого и опять же брр, гадость, и со всеми теми же болезнями.
А мне больше старые версии сего продукта нравятся. И выглядят лучше (по-старинке) и на x86 работают, а у меня на выделенном под него сервере P4.
Проапгрейдил на свою голову с 2.3 на 2.4. Тормоза жуткие включились, через полдня работы система начинает активно юзать своп, вплоть до полного его исчерпания. :(
Настройки никакие не менял. Точно говорят - новое-лучшее враг хорошего.
Отличный продукт. Применяю в конторе OpenVPN, IAX2. Защита от сбоев: 2 провайдера + 2 pfSense на дохлом железе «чтоб-и-пиццот-тоже-не-платить». Рекомендую.
Какой ещё конторе? Лицензию купить не забыли?
Какую еще лицензию дяд?) Он бесплатный, плату берут за тех. поддержку)