Сформирован релиз дистрибутива для создания межсетевых экранов OPNsense 24.1, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (443 МБ)...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60532
а почему межсетевые экраны на FreeBSD лучше, чем на Linux?
не поверите:её меньше долбают (проверяют) на ошибки и субъективно кажется что их нет, она надёжней и всё такое прочее.
Собственно, а что именно в ней должно быть менее надёжно? OpenSSL, OpenSSH, nginx, apache которые те же самые?
а в ядре ничего нету?
в ядре ничего нет.расходимся, спим спокойно.
Субъективно pf и ipfw имеют гораздо более понятный и человекочитаемый синтаксис в отличие от iptables. Впрочем, новомодный nft в Линуксе тоже неплох в этом плане.
Из объективного - фряшечные фаерволлы меньше ресурсов требуют на ту же ширину канала. На этом вроде всё, лет 20-30 назад фряшечные фаерволлы превосходили линуксовый примерно во всём. Сейчас линуксовые точно не хуже.
Ну, пока чего-нибудь сколько-нибудь сложного не попробуешь сделать - все хорошо, да. Плоская простыня со skipto на нескольких интерфейсах быстро начинает вымораживать даже создателя, а трафик флоу в случае ната и шейпинга прям не тривиален, поддержка протоколов, опять же... на тот же ftp (мир праху его) - эпичный костыль торчал.
С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип - во времена оны в однопоточку жОско упирался, а фрибыздышный в этом плане как бы не полностью расшит - но с "апстримом" основательно так разошелся уже лет не вспомню, сколько назад, что может вызывать изрядное жжение пониже спины.
КМК в простых случаях сильно лучше, что ip, что nf-tables, что даже ufw с firewalld, но все, что сколько-нибудь сложнее - "бегите, глупцы!!!"
> С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип -
> во времена оны в однопоточку жОско упирался...obsd's pf до сих пор однопоточный, но "упирается" он, как правило, не в CPU.. в 99% случаев причина затыка - прокладка меж стулом и монитором с клавиатурой..
c nft не работал плотно.. если сравнивать pf с iptables, то pf выигрывает из-за statefull inspection.. и, субъективно, с pf легче разбирать тэгированный траффик, vlan-ы и т.п..
>> С pf другая беда - openbsd'шный хорош всем, кроме тыр-дыр-пыр-форманса, емнип -
>> во времена оны в однопоточку жОско упирался...
> obsd's pf до сих пор однопоточный, но "упирается" он, как правило, не
> в CPU.. в 99% случаев причина затыка - прокладка меж стулом
> и монитором с клавиатурой..Да хрен знает - на том археотеке на котором я его лет 10 назад последний раз щупал - с процом очень не очень было. Впрочем, на прямизну рук и тогда-то не претендовал ).
nft новомодный упирается в производительность человеческого мозга, а так как он не для людей делался, то тут в обязательном порядке нужен какой-нибудь смузи-девопсо-хикикомори без личной жизни вообще, который будет этот линуксячий бред разгребать.
Да просто пишется обвяз, генерирующий правила nft из высокоуровневых абстракций. Задача уровня бакалавра CS. Обычно же хватает «стандартного» firewalld и изредка приходится самому программировать, но так или иначе уход от императивного плоского синтаксиса к декларативным структурам данных был правильным шагом в нужном направлении. Прокладка между приложением и железом должна быть во всех аспектах программируемой на высоком уровне, что в общем-то и происходит с Линуксом: сетевые неймспейсы, контейнеризация, eBPF, NFT, XDP, программируемый сторадж и так далее.
и когда что-то идет не так - "бакалавр CS" разводит руками. Он бы в принципе и с обычным iptables руками развел и ушами похлопал, но с обычным вместо него нормальный админ бы разобрался довольно быстро.
А тут с десятком прослоек и прокладок нескучно во всех аспектах - плюнет и уйдет.> был правильным шагом в нужном направлении
угу, запутать все до такой степени, что уже вообще никто не разберет что там нах..верчено.
Хорошее направление, нужное. Бакалаврам от CS, не умеющим ничего полезного.
А потом даже такую тривиальщину как пакетный фильтрик мы будем ставить на базе bsd, потому что там кривенько-убогонько но примитивные задачи решает и можно починить если сломается.
Что ж ты такой безрукий и безмозглый, чио у тебя всё постоянно само по себе ломается и починить не можешь? Ты точно профессией не ошибся? Ой-ой, бакалавр что-то накодил, а «умудрённый» «опытом» «системный» «администратор» не может в элементарном коде разобраться, ведь у него лапки.
> Что ж ты такой безрукий и безмозглый, чио у тебя всё постоянно
> само по себе ломается и починить не можешь? Ты точно профессиейесли твое г-но у другого человека ломается, стоит тебе отвернуться - вероятно профессией ошибся именно ты.
> не ошибся? Ой-ой, бакалавр что-то накодил, а «умудрённый» «опытом»
> «системный» «администратор» не может в элементарном коде разобраться,А мне надо в твоем дерьме копаться?
Я его просто выкину следом за тобой.
> А мне надо в твоем дерьме копаться?Ну это уж как начальство прикажет. Прикажет копаться — будешь копаться. Прикажет полы мести — будешь мести. А вот выкидывать ты точно никого не будешь — не по чину тебе. Да и как ты меня, контратора, выкинешь? Когда я появляюсь весь в красивом, зарплатные дроны уныло идут на митинг, где им доносят простую мысль: либо делаете так, как скажет Уважаемый Контрактор За Большие Бабосы, либо обновляйте резюме. Я на таких гордых как ты за годы насмотрелся, но итог всегда один: тебе зарплатка важнее даже собственной гордости.
Легко выкину - принесу списочек про..долбов по вине твоего софта или твоей неадекватной реакции аккуартненько собранный - и усьо, контракт не продлен, гуляй уасья, тут таких красивых еще трое в очереди стоят с голодными глазами, а тебя выбрали потому что ты просто был самый дешовый.Мне зарплатку-то именно за это и платят, не начальство ж будет мараться.
И ты будешь не первый и даже не десятый так пошедший на...й. И твое г-нецо потом веничком соберут в совочек и отправят следом - за его самодеятельный ремонт - тоже ж не заплатят.
У начальства, чтоб ты знал, премия зависит от числа отказов (а у меня, хихи, пока нет).
Вот с местными "специалистами" по модным технологиям - сложнее. Потому как чем хуже у них технологии, тем лучше скил перекладывания ответственности на кого угодно кроме себя. Но это уже как раз начальство аккуратно сливает, потому что премия, ну и вообще я на неадекватов работать бы и не пришел, это ты ж за кусок хлеба лижешь сапоги любому заказчику (и да, это называется - проекция). Хуже что когда они уходят (и не всегда подоброму) это вот остается за ними навеки. И обслуживать некому, поэтому приходят ко мне (в обход начальства, кстати, которое не одобряет поддержку чужих проектов).
> nft новомодный упирается в производительность человеческого мозга, а так как он не
> для людей делался, то тут в обязательном порядке нужен какой-нибудь смузи-девопсо-хикикомори
> без личной жизни вообще, который будет этот линуксячий бред разгребать.Да оссспыди, не будет его никто разбирать - вот что там нагенерируется каким доскером или там фуриволлды - то и будет, разбор\писево этого месива руками не предполагается...
а когда оно навернется - как чинить будем? А, знаю - если ресет не помог, то надо переустановить, вот!
> а когда оно навернется - как чинить будем? А, знаю - если
> ресет не помог, то надо переустановить, вот!Ты знал! Ты знал! Т.е. для начала конечно попробуем перезагрузить, плейбук перенакатить - может вот фары протрем, по скатам попиннаем, двери откроем-закрозакроем - ну, ты знаешь, да? Если не поможет, то вот АКС соберем, по итогам совместного повторения вышеуказанных пунктов - на деревню вендору письмо напишем - но унутрь не полезем. Нууу... официально. Если Уасю или там Петю это все достаточно задолбает - он залезет и может даже починит - но официально конечно же не признается.
> двери откроем-закрозакроемЧто, тоже с современными Фордами сталкивался (там еще в одном из ритуалов оживления бибики ручник, который тоже уже "на датчиках", а не механике - пару раз "поствить-снять" нужно)?
ну я вот уже не полезу. А чо я, лысый что-ли? Я блей-пук перенакатил, по колесу постучал, капот опломбирован, ручник вкл-выкл сделал, даже дважды, ниедет. Могу из соплей и клея сбоку замену пока приколхозить, но это - пока могу. Еще несколько лет в том же духе - и даже это станет нереально (или настолько мерзко что браться не стану)
Не лучше. Во фре меньше, скажем так, не относящегося к задаче, поэтому на фре легковеснее и проще в обслуживании.
патамушта кто-то осилил запилить для нее вебмордочку monowall а на линукс только невменозный редхатовский cockpit.В остальном они всем хуже, если надо что-то чуть сложнее совсем тривиального.
Хотя со времен впиндюривания нечеловекочитаемого nft уже, пожалуй, "оба хуже".А бушная 5520 всего 5 тыщ ржублей между прочим.
Моновол вообще гениальная вещь. Она проста как две копейки и содержит всё необходимое. Я его частенько использовал.А вот дальнейшие пф и опн сенсы стали слишком развесисты и фичасты. Иной раз всё это не нужно, а нет, давай конфигури, иначе не взлетит.
зато у меня ее девляпсы воткнули в качестве - будешь ржать - dhcp server. Ну да, не ослышался - файрвол им не нужен и она вообще ничего не фильтрует. dhcp с пойнт-нд-клац интерфейсом.Я не стал мешать.
Дык а что там с относительно вменяемыми альтернативами-то кроме вот майкрософта и майкрософта?
Пердолить голыми руками без сизов bind10 не предлагать)
Дык ведь та же задача. Чтобы клац клац и в продакшн.Я как-то на monowall поднимал nat с пробросом из сети в сеть в Кении на одном проекте.
Приехал мигрировать сервера с отсюдова туда. А новые которые "туда" в другом сегменте. И выход в wan им недоступен. Пока сетевики пробрасывали концы, поднял на "старых" серверах виртуалки с моноволом и вот так завёл. Протестировали, щапустили, а там и сетевики подтянулись.
monowall шикарен тем, тем не менее....
Так как в нём используется ipfilter для фильтров, а ipfw только для NAT, нет, соответственно, таблиц и правил с ними не сделать.Вообще, современный ipfw с именованными таблицами и возможностью record-state без check-state стал ещё интереснее.
Жаль, что нет встроенной возможности автоматически удалять IP из таблицы по таймауту. Приходится использовать внешний софт. Пожалуй, это единственная вещь из мира iptables, вызывающая некоторую зависть.
> Так как в нём используется ipfilter для фильтровну увы, когда его писали - лучшего не было.
А сегодня... в общем, хрен его знает, но ту коробку вчера принесли на почту. Посмотрим что там с лицензией (на крайняк, конечно же, есть генератор). На мой век ее точно хватит.
>а на линукс толькоПриятно видеть "профессионала" за работой. Sophos Firewall и Untangle на линуксе. И это те, про которые я хотя бы слышал.
Приятно видеть эксперта опеннета, который тщательно подсчитывает что там на линуксе из того что даже не увидит никогда.Я тебе больше скажу - та самая коробка за пять тыщ бу (и я все же решил купить пока их раздают почти бесплатно - так, чисто поностальгировать, пользы от нее сегодня ноль) - тоже линукс, и на него неленивым и рукастым даже удавалось взглянуть изнутри... только вот от линукса там - драйверы сетевух. Поскольку для пакетного фильтра это, мягко говоря, неглавное. А дальше запускается огромный бинарник, который и делает всю магию. Без участия линуксного ведра, которое используется только как халявный загрузчик.
А то о чем мы тут - использует штатные средства операционной системы (которой linoops разумеется не является) и представляет собой просто удобные (не очень, но лучшего на халяву не найти) пользовательские интерфейсы к ним. А почему для вашей их нет - спроси у себя, ты ж эксперт.
>Я тебе больше скажу - та самая коробка за пять тыщКотроая нихрена не умеет и проигрывает по функциям какому-нибудь микротику за 2.000? Или ты где-то asa-x за пять косарей нашел? Не будем про "особенности" синтаксиса, применяемого в ASA...
Напомню (ты, похоже, забыл уже) - ты начал разговор с того, что сказал, что для линукса нет "вебмордочек" к файрволу. Те два примера, которые я привёл, - это что тогда?
> Котроая нихрена не умеетмнение эксперта опеннета очень неважно для нас.
Да, проигрывает - не становится внезапно attack relay, не образует неожиданного гейта в твою сеть с удобным набором для э... "пентестинга", и даже если вдруг случится страшное и васян попадет прямо в шелл - ничего не поймет и ничего не добьется - "синтаксис" вишь ли ни разу не похож на firewalldрянь. Но куда вероятней он попадет в шелл таки на некротик-за-2000.
А, ну да, ну да - еще ее разработчикам было незнакомо "етот ваш фетепе ниправильный и нимодный и работать через наше чюдо был и недолжен" - в те годы с таким подходом даже в уборщицы бы не взяли, а вот у афтырей pf палучилася.
Хе мне для дома без надобности, да и пользы от краденого хека ровно ноль.
> Напомню (ты, похоже, забыл уже) - ты начал разговор с того, что сказал, что для линукса нет
> "вебмордочек" к файрволу. Те два примера, которые я привёл, - это что тогда?Про второй не знаю, первый - такой же "линукс" как и asa. Или даже меньше, поскольку он все же ng firewall, хоть и уродец, а значит сетевые драйверы линукса ему тоже без надобности. От линукса он не использует ровно ничего (потому что оно - г-но) кроме загружалки-запускалки бинарников. Ну не самим же еще и это писать, когда вон бесплатное взятьвзять, и неважно какое - на раз в два года загрузиться. Вебморда у него ни разу не к линуксу, она _своим_ софтом управляет.
Обновление пугающе долгое, если через WEB. Теперь есть по умолчанию Wireguard. Подхватил все конфиги и вроде все ОК
Если нужен pf, разумнее будет использовать OpenBSD. Благо поднять роутер на ней сможет даже человек далёкий от сетей, ибо гайдов и мануалов по этой теме вагон и маленькая тележка.
Кривое обновление, которое ломает предыдущую установку. Только устанавливать за ново 24.1.
Отнюдь!
Недотерпел? Оно там долго обновляет.
Le classique
Есть ли у него дистрибутивы для ARM?
https://forum.opnsense.org/index.php?topic=22262.15 я уже видел.