The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз дистрибутива для создания межсетевых экранов pfSense 2.4.0

13.10.2017 12:08

Увидел свет релиз компактного дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.4.0. Дистрибутив основан на кодовой базе FreeBSD с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно несколько образов для архитектуры amd64, размером от 300 до 350 Мб, включая LiveCD и образ для установки на USB Flash.

Управление дистрибутивом производится через web-интерфейс. Для организации выхода пользователей в проводной и беспроводной сети может быть использован Captive Portal, NAT, VPN (IPsec, OpenVPN) и PPPoE. Поддерживается широкий спектр возможностей по ограничению пропускной способности, лимитирования числа одновременных соединений, фильтрации трафика и создания отказоустойчивых конфигураций на базе CARP. Статистика работы отображается в виде графиков или в табличном виде. Поддерживается авторизация по локальной базе пользователей, а также через RADIUS и LDAP.

Ключевые изменения:

  • Компоненты базовой системы обновлены до FreeBSD 11.1 (в прошлой ветке использовался FreeBSD 10.3);
  • Прекращено формирование сборок для 32-разрядной архитектуры x86 (i386). Также прекращено создание сборок на базе NanoBSD;
  • Представлен новый инсталлятор, основанный на коде bsdinstall и предоставляющий поддержку ZFS, UEFI и несколько типов раскладок дисковых разделов (GPT, BIOS);
  • Поддержка ARM-устройств Netgate, таких как SG-1000;
  • Поддержка OpenVPN 2.4.x с шифром AES-GCM;
  • Поддержка интернационализации в Web-интерфейсе, который теперь доступен в переводах на 13 языков, включая русский;
  • Внесены изменения в WebGUI: новое оформление входа, дополнительная защита от CSRF-атак, существенно переработанная сводная панель и расширенное применение Ajax для обновления данных без перезагрузки странниц;
  • Новые возможности управления сертификатами, включая создание CSR-подписей;
  • Переписан Captive Portal.


  1. Главная ссылка к новости (https://www.netgate.com/blog/p...)
  2. OpenNews: Доступен дистрибутив для создания межсетевых экранов OPNsense 17.7
  3. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.3.4
  4. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.3
  5. OpenNews: Релиз FreeBSD 10.4
  6. OpenNews: Релиз FreeBSD 11.1
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47383-pfsense
Ключевые слова: pfsense, bsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.9, DKG (?), 13:13, 13/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    The best.
     
  • 1.11, Аноним (-), 13:28, 13/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот блин, жаль, что x86 Прекращают. Куда теперь девать мой древний аквариус, на котором pfSence хорошо прижилось, эх.
     
     
  • 2.12, нонаним (?), 13:32, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    работает - не трогай
     
  • 2.13, tonys (??), 13:41, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    32-bit x86 hardware can continue to run pfSense software version 2.3.x, which will receive security updates for at least a year after pfSense 2.4.0-RELEASE.

    Еще год можно не беспокоиться, а там может и сам сдохнет. :-)

     
     
  • 3.16, пох (?), 14:26, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Еще год можно не беспокоиться, а там может и сам сдохнет. :-)

    а не сдохнет - пересобрать новое ведро или обновить порт шибко-нужного vpn'а тоже невеликая задача (за стандартную таксу $35/час готов помочь неосиляторам), а если у вас ейный уеб-интерфейс в недоверенные сети торчит, то можно и десять лет не беспокоиться, поздно уже.

     
     
  • 4.34, Аноним (-), 22:11, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > а если у вас ейный уеб-интерфейс в недоверенные сети торчит, то можно и десять лет не беспокоиться, поздно уже

    Ты наконец-то прочитал инструкцию к своему роутеру? Теперь спешишь со всеми поделиться?

     
     
  • 5.53, Аноним (-), 01:44, 20/10/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ты наконец-то прочитал инструкцию к своему роутеру? Теперь спешишь со всеми поделиться?

    Ему просто зажали 35 баксов в час в его помойке, вот он и пытается с лохов срубить.

     
  • 2.45, Кир (?), 12:20, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Оpnsense же есть
     
  • 2.50, наненаним (?), 11:22, 17/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    на x86 можно воткнуть openwrt
     

  • 1.17, Аноним (17), 16:14, 13/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отличный продукт. К железу не требователен. У меня работает уже 7 лет в корпоративной сети. Нареканий нет. По функционалу, даже больше чем мне потребовалось за это время.
     
     
  • 2.22, _ (??), 16:30, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Отличный продукт.

    Это - да. Кстати в команде есть наши люди :)
    >К железу не требователен.

    Это смотря что из пакетов ты захочешь. Захоти снорта - сам увидишь :)
    >У меня работает уже 7 лет в корпоративной сети.

    Самый стандартный рассказ про pfSense :) Потому что
    >Отличный продукт.

     

  • 1.23, Аноним (-), 16:42, 13/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Переписан Captive Portal.

    Вот это настораживает. Работал нормально. Сейчас как?

     
  • 1.27, Тузя (ok), 18:07, 13/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Кто-нибудь может пояснить, почему эта штука по умолчанию меняет порт при исходящ... большой текст свёрнут, показать
     
     
  • 2.31, Алексей (??), 20:21, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://ru.wikipedia.org/wiki/NAT . Там всё написано. По умолчанию почти все дистрибутивы linux используют Перегруженный NAT.
     
  • 2.32, пох (?), 20:41, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    потому что эта штука не наттер, на замену сдохшего длинка-за-пиццот-рублей из ... большой текст свёрнут, показать
     
     
  • 3.37, Аноним (-), 23:10, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Как же тебя жалко... Живёшь в гнилых мирках, где кругом одни утырки и со всем всё плохо.
     
     
  • 4.38, пох (?), 23:46, 13/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как же тебя жалко... Живёшь в гнилых мирках, где кругом одни утырки и со всем всё плохо.

    ну же, гость из параллельного мира единорогов, какающих бабочками - как у вас там работает ip-телефония? (не "я вчера настроил по найденным в гугле инструкциям десятилетней давности, кстати, через час меня по таким же древним поломали, целый один астериск на три софтфона", а для взрослых - пара десятков пиров, десятки тыщ корпоративных клиентов с хз чем и за хз чем, при продолбе - в дырку утекают пара миллионов денег.)
    С интересом послушаю историю вашей всеобщей любви и обожания тех прекрасных волшебников, кто все это придумал.
    А то у нас тут такая любофф, что при детях и рассказать нельзя, волшебник с чемоданом инструментов для садо-мазо - какая-то очень недетская сказочка.

     
     
  • 5.40, Аноним (-), 00:12, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Такой недетский линукс..

     
  • 5.42, Тузя (ok), 02:36, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > как у вас там работает ip-телефония?

    Просто прекрасно работает!
    Есть несколько способов защититься от этого:
    1. Firewall с ACL, если там 3 софтфона и аст.
    2. Fail2ban, если клиенты тоже могут быть во внешке и процессорные ресурсы позволяют.
    3. Бордерконтроллер, программный или аппаратный. Тут вариантов много. Кто-то покупает, кто-то собирает свою SBC на связке Kamailio+freeswitch. Кто-то делает всю фильтрацию на kamailio и диспетчером кидает на асты. Кто-то выносит оттуда медиа на отдельные сервера.

    > А то у нас тут такая любофф, что при детях и рассказать нельзя, волшебник с чемоданом инструментов для садо-мазо - какая-то очень недетская сказочка.

    Там всё сложно потому что сама задача сложна.
    Представь себе ситуацию когда собралась видеоконференция из 5 человек, которые во время разговора пишут в чат и передают друг другу файлы. Всё это можно сделать на одном лишь sip, но можно и без него (webrtc). Причем в этой задаче у одного двойной нат, у второго симметричный нат (он пошел через релей) у третьего UPnP у четвертого внешний IPv6, но они с пятым сидят в одной локалке IPv4. Цель: p2p-соединение с минимальными задержками, динамической сменой кодеков при передаче медиа. Ну... как? Сможешь выдать решение которое лучше чем весь "sip-мирок"?

     
     
  • 6.43, Max (??), 10:31, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    не кормите троля!

    хотя в отношении sip я с ним, отчасти, согласен... и не только я, ибо именно из за "особенностей" sip'а разработчики asterisk и придумали iax

     
     
  • 7.46, Аноним (-), 17:11, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разработчики asterisk просто используют SIP не по назначению.
     
  • 6.44, пох (?), 11:30, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну есть много костыликов и подпорочек, ага А надежных способов - кроме дорогущи... большой текст свёрнут, показать
     
     
  • 7.47, Тузя (ok), 18:06, 15/10/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > то что вы называете файрволом, а на самом деле является пакетным фильтром...

    Бегемоты и гиппопотамы.
    > Рандомизация портов делает эту и схожие (поскольку кроме единственного освоенного вами, есть еще мильен с тыщами udp-based протоколов) дырки более-менее прикрытыми

    Нет, не делает. Сколько бы ты не пытался мне это рассказать, сколько бы яда не выплюнул, никакой NAT и случайный выбор порта тут никому не поможет от спуфинга, тем более от спуфинга UDP. И телефония тут вообще не причём. Может приведешь доказательства, а то утырки из pfsence тоже не смогли их привести.
    > Разумеется, это тоже костылик, и предназначено оно для нище...мелких клиентов, неспособных оплатить коммерческие решения (потому что открытых, увы, не будет)

    Не надо врать. pfsence - дорогое решение по сравнению с тем же mikrotik и аналогичным линукс-решениям. Сам pfsence бесплатен, но толст и требователен к оборудованию.
    > потому что неверно поставлена. Вам на самом деле нужны вовсе не p2p и "минимальные задержки"...

    Она поставлена верно. Ты не можешь загнать всё медиа на сервер и гнать всё через него в общем случае, поэтому p2p. Любые серверные решения с релеями медиа делаются только с учётом географии и также могут являться частью p2p звонка. Чисто клиент-серверное решение при передаче медиа просто не бывает. Что касается демагогии насчёт минимальных и приемлемых, джитера, потерь и скайпа - это пустая болтовня и показатель твоей неграмотности. Если ты считаешь, что сможешь внятно описать свою идею чисто клиент-серверной телефонии, я с удовольствием почитаю тут твои идеи. Но что-то в нашей предыдущей переписке заставляет меня сомневаться в твоих возможностях. Не могу понять что.

     
  • 3.41, Тузя (ok), 02:00, 14/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Нет придумали Никакими заменами портов в NAT от спуфинга не защититься Враньё ... большой текст свёрнут, показать
     
  • 3.48, Anonymoustus (ok), 09:47, 16/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> …этим наивным детям декадно-шагового оборудования никто не рассказал)

    Не ругайте пианиста — он играет, как умеет. Они просто хотели автоматизации для пролетариев всех стран. Декадно-шаговой.

     
     
  • 4.52, пох (?), 21:13, 18/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не ругайте пианиста — он играет, как умеет. Они просто хотели автоматизации для
    > пролетариев всех стран.

    ну, в общем-то, кроме них никто и не захотел - ничего лучшего чем sip, мы так и не получили за многие годы.

    Поэтому странно что там выше анон ругает астерисков - де используют не по назначению. Как будто им было что еще использовать.

    sccp запатентован циской, и ничем, по-моему, не лучше. h323 не для этого и опять же брр, гадость, и со всеми теми же болезнями.

     

  • 1.33, Alex (??), 21:34, 13/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А мне больше старые версии сего продукта нравятся. И выглядят лучше (по-старинке) и на x86 работают, а у меня на выделенном под него сервере P4.
     
  • 1.49, Аноним (-), 16:16, 16/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Проапгрейдил на свою голову с 2.3 на 2.4. Тормоза жуткие включились, через полдня работы система начинает активно юзать своп, вплоть до полного его исчерпания. :(
    Настройки никакие не менял. Точно говорят - новое-лучшее враг хорошего.
     
  • 1.51, Аноним (-), 17:59, 17/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Отличный продукт. Применяю в конторе OpenVPN, IAX2. Защита от сбоев: 2 провайдера + 2 pfSense на дохлом железе «чтоб-и-пиццот-тоже-не-платить». Рекомендую.
     
     
  • 2.55, Егор (??), 10:23, 28/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Какой ещё конторе? Лицензию купить не забыли?
     
     
  • 3.56, Анон1602 (?), 04:29, 01/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Какую еще лицензию дяд?) Он бесплатный, плату берут за тех. поддержку)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру