The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Доступен дистрибутив для создания межсетевых экранов OPNsense 20.7

30.07.2020 23:27

Увидел свет дистрибутив для создания межсетевых экранов OPNsense 20.7, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (420 Мб).

Базовая начинка дистрибутива основывается на коде HardenedBSD 12.1, поддерживающем синхронизированный форк FreeBSD, в который интегрированы дополнительные механизмы защиты и техники противодействия методам эксплуатации уязвимостей. Среди возможностей OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.

Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.

В новой версии:

  • Добавлена поддержка DHCPv6 Multi-WAN для подключения через несколько каналов;
  • Обеспечена возможность определения собственных страниц, выводимых при ошибках подключения через web-прокси;
  • Реализация системы обнаружения и предотвращения сетевых вторжений обновлена до Suricata 5;
  • Базовая система синхронизирована с HardenedBSD 12.1, форка FreeBSD 12.1, в который интегрированы дополнительные механизмы защиты и техники противодействия методам эксплуатации уязвимостей;
  • Добавлен отчёт с древовидным представлением информации о сетевых соединениях;
  • Реализован API для управления межсетевым экраном;
  • Расширены возможности для фильтрации логов на лету.


  1. Главная ссылка к новости (https://opnsense.org/opnsense-...)
  2. OpenNews: Доступен дистрибутив для создания межсетевых экранов OPNsense 20.1
  3. OpenNews: В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux
  4. OpenNews: Выпуск интерактивного межсетевого экрана TinyWall 2.0
  5. OpenNews: Релиз дистрибутива для создания межсетевых экранов IPFire 2.25
  6. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.4.5
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53461-opnsense
Ключевые слова: opnsense
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (57) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ann (??), 23:39, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Красотенька
     
  • 1.3, Сейд (ok), 23:41, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    А для ARM так и не сделали :(
     
     
  • 2.29, Аноним (29), 10:59, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    FreeBSD же.
     
     
  • 3.34, анонн (ok), 11:13, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > FreeBSD же.




    uname -rsp && w
    FreeBSD 12.1-STABLE armv7
    3:11p.m.  up 76 days, 20:56,



    Опеннетные знатоки же.


     

  • 1.4, Аноним (4), 23:48, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >А для ARM так и не сделали :(

    значит у тебя еще есть шанс сделать это самому

     
     
  • 2.6, Сейд_1 (?), 00:16, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не будутничего делать.
     
  • 2.10, Сейд (ok), 01:34, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Мне проще взять OpenWrt и MIPS уж тогда.
     
     
  • 3.13, Аноним (-), 02:49, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да он и на ARM'ах в общем то работает, если надо.
     
     
  • 4.26, Сейд (ok), 10:46, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    MIPS дешевле.
     

  • 1.5, Михрютка (ok), 23:59, 30/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    отличная штука, пока смотришь на нее, как на замену асусроутера воткнул и забыл.

    но если жизнь и рассудок дороги вам, не лезьте внутрь выяснять, чо там работает не так.

     
     
  • 2.8, linux (??), 00:51, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ведь есть openwrt на человеческом линуксе и с поддержуой mips/arm. BSD приколы это весело и необычно, но пользоваться этим... В общем, будьте талерантнее к разным меньшинствам в том числе и к любителям бсд.
     
     
  • 3.9, Михрютка (ok), 01:06, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    и ведь этот комментатор уверен, что его камент будут воспринимать всерьез.
     
     
  • 4.11, Сейд (ok), 01:47, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так ведь готовый беспроводной маршрутизатор с MIPS в 12 раз дешевле компьютера с x86-64 в роли маршрутизатора.
     
     
  • 5.16, Аноним (16), 05:26, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    x86 распространенная архитектура, да системник можно бесплатно найти.
    тебе из-за профдеформации кажется что мипсы это легко, а многие не подозревают о его существовании.
    хотелось бы ссылку на продажу мипса
     
     
  • 6.20, ryoken (ok), 08:23, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Системник тоже по потреблению будет как роутер, да?
     
  • 6.27, Сейд (ok), 10:50, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    MIPS — распространённая архитектура, а маршрутизатор с этим процессором можно купить за 25 рублей.
    https://www.netgear.ru/home/products/networking/wifi-routers/jwnr2000.aspx
     
     
  • 7.31, Аноним (29), 11:05, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот интересно, а бывают достаточно дешёвые 5 GHz только? Но и чтоб OpenWRT можно, разумеется.
     
     
  • 8.36, linux (??), 11:17, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, бывают Роутеры на mt7621 MIPS 2 ядра, 4 треда HWNAT из коробки под апстрим... текст свёрнут, показать
     
  • 8.41, Сейд (ok), 11:23, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Xiaomi Mi Router 4a, 40 рублей ... текст свёрнут, показать
     
  • 5.22, Аноним (22), 08:50, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Те, что в 12 раз дешевле, обычно годятся только для "роутера" на 3 компьютера и телефон, а те, что по производительности в задачах роутера сопоставимы с x86_64, стоят, как правило, даже дороже, и электричества потребляют соответственно.
     
     
  • 6.28, Сейд (ok), 10:54, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Mikrotik NetBox 5 RB911G-5HPacD, например?
     
     
  • 7.54, Аноним (54), 19:39, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    |What is the current status of wave 2 features in Mikrotik wireless drivers?
    Most of the features are implemented, but MU-MIMO is WIP

    Уноси обратно.

     
  • 6.32, Аноним (29), 11:08, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Интнресно, а сколько у вас в доме компьютеров? ;)

    P.S. И да, QoS никто не отменял.

     
  • 5.25, Михрютка (ok), 10:35, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    я смотрю, каждый первый местный комментатор не умеет в читать и понимать написанное.

    речь об дистре, предназначенном исключительно для писюка х86. нет, непременно кто-нибудь придет фонить про опенвротэ, мипсы и прочее не относящееся к вопросу.

     
     
  • 6.30, Сейд (ok), 11:01, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Читателям не нужен именно OPNsense, им нужен маршрутизатор на MIPS. Поэтому они выбирают OpenWrt. Но если бы OPNsense работал на MIPS, то выбрали бы его.
     
     
  • 7.35, Аноним (29), 11:15, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, лично я бы выбрал таки OpenWRT.
     
  • 7.44, Михрютка (ok), 12:11, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    там по соседству новость про гитхаб и доступ по ключам.

    сходил бы ты и там отметился, что ли? откаментил бы что-нить глубокомысленное вроде "Стране не нужен именно доступ по ключам, стране нужен маршрутизатор на mips".

    а то мировая энтропия страдает.

     
     
  • 8.47, Сейд (ok), 12:38, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо Поздравляю с Днём системного администратора 171 Мне не нужен Гитхаб,... текст свёрнут, показать
     
  • 5.55, OpenEcho (?), 02:03, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сорри, но вы сравниваете, легковушку и дальнобойный грузовик...
    У каждого свое предназначение, pfSense/OPnsense спокойно может даже на устаревших компах потянуть тысячи клиентов с кучей сетевых приблуд в реалтиме с IDS/IPS, статистикой, гибким роутингом, floating firewall rules, с контролем за качеством каналов, мультиваны с лоад балансинг/фэиловер и автоматическим переключением на лучший ISP канал, radius/ldap авторизация, прозрачный и с авторизацией прокси, межсайтовое обьединение оффисов и т.д. и т.п. Сравнивать мощь писюка в который можно напихать кучу сетевух, памяти и с соответсвующем софтом с мыльницами на мипсах - это просто не корректно. pf(opn)sense-oм можно спокойно заменять многие решения на взрослых цисках.

    OpenWRT и мипсы - это домашние сетки, малый бизнес. Пробегитесь просто по менюшкам для сравнения на обоих чтобы увидеть разницу в возможностях настроек. Попробуйте на OPenWRT с мипсом повесить сурикату+прокси и посадить хотя бы сотню машин позади, - там банально не хватит памяти.

    Каждому из них есть свое место, но сравнивать их, увы - нельзя.  

     
     
  • 6.59, Сейд (ok), 16:06, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Всё нормально. OpenWrt вы можете установить на x86-64, а OPNsense на MIPS — нет. На OpenWrt есть СОВ/СПВ, статистика, гибкая маршрутизация и прочее. А если вам не хватает оперативной памяти, так это не из-за дистрибутива, а из-за Suricata.

    Я не против OPNsense, я бы хотел им пользоваться, но не могу. А вот OpenWrt я могу установить куда угодно.

     
  • 5.60, псевдонимус (?), 09:17, 04/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Беспроводной маршрутизатор поумолчанию говно. Нужно лиеуксоидом быть чтобы не.понимать.
     
     
  • 6.61, Сейд (ok), 15:22, 04/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так выключи Wi-Fi.
     
  • 4.39, Аноним (29), 11:22, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >и ведь этот комментатор уверен, что его камент будут воспринимать всерьез.

    Да, я даже плюсанул его.

     
     
  • 5.45, Михрютка (ok), 12:11, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    держи в курсе
     
  • 3.23, Аноним (22), 08:53, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Ведь есть openwrt на человеческом линуксе

    Эта штука больше на проприетарные некротики по своей сути похожа. В смысле, у них подход "пытаемся сделать ГУЙ ко всему". Получается так же убого.

     
     
  • 4.37, Аноним (29), 11:19, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не нравится через гуй - не ставь Люсю. В чём проблема?
     
     
  • 5.49, Аноним (22), 14:51, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    так речь не про openwrt, а про сабж. Гуй в этом вашем openwrt настолько убог, что это даже не смешно, им можно пользоваться только для тех задач, для которых подойдет и вендорская прошивка большинства роутеров. Все через пердолинг в файлах конфигурации приходится делать.
     
  • 4.38, linux (??), 11:21, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гуй в openwrt это опциональный пакет, luci можно не ставить. Есть cli интерфейс, а ещё можно менять конфиги руками если ты варвор.
    А если совсем необучаемый можно отказаться от конфигов openwrt и настроить все как на любом обычном дистрибутиве линукс.
     

  • 1.7, Аноним (7), 00:29, 31/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    ФриБЗД уже научилась вай-фай хотя бы IEEE 802.11n или все так же частично местами кое-как но с квартальными отчетами?
     
     
  • 2.14, flkghdfgklh (?), 03:34, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты еще спроси как у них с 802.11ac или 802.11ax :-D :-D :-D
    Лет через 10, когда какой-нибудь бздун копаясь в помойке найдет нужную вайфайку начнут пилить поддержку. У них с любым железом так. Что бы они начали поддержку железа надо, что бы его кто-то выкинул на помойку и именно мимо этой помойки в поисках еды шел в тот момент бздун
     
  • 2.17, Аноним (16), 05:28, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.freebsd.org/cgi/man.cgi?query=iwn(4)&sektion=4
     
     
  • 3.48, Писатель квартальных отчетов (?), 14:47, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В чем смысл этой ссылки? Неужто частично интеловские карты десятилетней давности ФриБзда научилась определять и даже в режиме 802.11g работать? Ну не все хвункции 802.11g конечно поддерживает, но хотя бы прошивку считывает и соединяться может. Об этом наверняка можно в квартальном отчете читать и переживать о битвах ФриБзды с оборудованием пятнадцатилетней давности.
    Всегда было интересно, почему во ФриБзде больше людей занято написанием квартальных отчетов, чем непрекращающимися сражениями с вайфаем и прочими блютузами? Откуда у них деньги на писателей отчетов и почему нет денег на вайфаи и блютузы всякие?
     

  • 1.12, Аноним (-), 02:47, 31/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Стебный скрин - показывает лог какой-то, чтоли. Нечитаемый наполовину. Там наверное Legendary Lion надо было заменить на Сказочный Раздолбай, на большее такой юзеринтерфейс не тянет. Хоть и гламурен :)
     
  • 1.15, Тот самый Ne01eX (?), 05:01, 31/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Знакомый лёва, однако...
     
  • 1.18, Cyber100 (ok), 06:03, 31/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на фоне pfsense это какая-то поделка студента в перерыве между парами...
     
     
  • 2.19, Аноним (19), 06:37, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А можно поподробней? Не вдавался в детали каждой из систем. На поверхностный взгляд всё одинаково плюс-минус.
     
     
  • 3.56, OpenEcho (?), 02:23, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Субжу ИМХО еще довольно далеко до гибкости пфсенса, они стараются все упростить по максимуму в то время как в пфсенсе значительно больше кастомизации и возможностей. Фронтенд у субжа на первый взгляд симпотичней, но попробуйте найти нужный лог без игры на гармошке. Пытаются сделать "юзер френдли" в ущерб гибкости. Вынос дефолтовых рулсетов в floating без возможности их редактирования в таблице рулов, это вообще - "мы знаем лучше что вам надо". Добавить банально что-то в крон из гуя - надо написать свой плагин, в то время как пфсенсе-ском аддоне это очень просто.
    Кстати, когда баловался с последним и накатил их апдэйт, то потерял к немы доступ через сеть, пришлось поднимать задницу... а если б было за три девять земель ?  
     
     
  • 4.57, Аноним (54), 07:46, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ай спасибо. Но хоть просвет то виден? Или лучше сразу пфсенс ковырять не замарачиваясь на этот дистр?
     
     
  • 5.58, OpenEcho (?), 13:46, 01/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Но хоть просвет то виден?

    Поживем, - увидим, не берусь за них вещать, ну а если нужен полнозначный функционал сейчас, то лучше чем pfSense из серии "файрвол с вебмордой" я не видел. Плюс если ставить комерческим структурам, то pfSense пожалуй имеют самый толковый супорт в случае чего.

     
  • 2.50, Пострадавший от пфесенса (?), 14:54, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не знаю, как в этой штуке, на пфсенс достоин награды за самый тормозной веб интерфейс из доступных. Кабы не половину процессора съедает при обращении и невразумительное количество памяти. А также приз зрительских симпатий за непонятность и запутанность того же интерфейса. Его писали инопланетяне с планеты ФриБздя.
     

  • 1.21, Аноним (21), 08:31, 31/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Все в OPNsense хорошо. Пока не столкнешься с суровой реальностью. Cisco наше всьо.
     
     
  • 2.24, 1 (??), 09:15, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    низзя цЫску - только плохой путь
     
     
  • 3.33, Сейд (ok), 11:11, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Только Netgear.
     
  • 2.42, Аноним (29), 11:41, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Цыцкой пусть корпорасты пользуются. Дома всё, во что можно залить OpenWRT.
     

  • 1.40, бублички (?), 11:23, 31/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    быть может голая тёлка вместо льва добавила бы популярности? уникальными достоинствами дистрибутива объявлены технологии доступные десятилетиями (тот-же CARP). уникален лишь не нужный никому API
     
     
  • 2.43, Аноним (29), 11:44, 31/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Голая инклюзивная тёлка афроамериканской внешности.
     

  • 1.46, YakovDolya (?), 12:19, 31/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В новости версия 20.2! По ссылке и на скрине 20.7! Опячатка :)
     
  • 1.53, little Bobby tables (?), 17:15, 31/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    нужен единый дата плейн для всех использованных в этом дистрибутиве приложений. Тогда будет бомба. С любой зверюшкой на десктопе.
    Сетевушка записала пакетец разок, кому надо считали пакетец. без копирования.  
    Для этого надо именно в опенсорсе стандартизировать обращение к пакетам. все чтения делать через единый апи - pcap, daq, etc.
    Писать эти пакеты из сетевушки сразу в юсерспейс при помощи дпдк, пфринг и тп.
    Абстрагировать чтение и запись трафика.
    Тогда взлетит на любой оси. Хоть на бсд, хоть на пингвине, хоть на офтопике.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру