После 6 месяцев разработки представлен (https://forum.opnsense.org/index.php?topic=13497.0) выпуск дистрибутива для создания межсетевых экранов OPNsense 19.7 (https://opnsense.org), который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются (https://github.com/opnsense/) под лицензией BSD. Сборки подготовлены (http://mirror.venturasystems.tech/opnsense/releases/mirror/) в форме LiveCD и системного образа для записи на Flash-накопители (290 Мб).
Базовая начинка дистрибутива основывается на коде HardenedBSD 11 (https://www.opennet.me/opennews/art.shtml?num=49808), поддерживающем синхронизированный форк FreeBSD, в который интегрированы дополнительные механизмы защиты и техники противодействия методам эксплуатации уязвимостей. Среди возможностей (http://opnsense.org/about/features) OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.
В новой версии:- Встроена возможность отправки логов на удалённый сервер, используя Syslog-ng;- Добавлен отдельный список для просмотра автоматически сгенерированных правил пакетного фильтра;- Добавлена статистика для всех правил пакетного фильтра;- Усовершенствовано управление псевдонимами (https://www.netgate.com/docs/pfsense/firewall/aliases.html) в правилах межсетевого экрана (позволяют использовать переменные вместо хостов, номеров портов и подсетей). Добавлена возможность импорта и экспорта псевдонимов в формате JSON. Появилась опциональная возможность ведения статистики для псевдонимов;- Переписан код обработки и переключения шлюзов;- Реализована возможность синхронизации групп LDAP;- Добавлена возможность отправки запросов подписи сертификатов;- Добавлена поддержка прокидывания маршрутов через IPsec (VTI);- Через XMLRPC реализована синхронизация псевдонимов, VHID и виджетов;- Добавлена возможность аутентификации в Web proxy и IPsec через PAM;- Добавлена поддержка подключения через цепочку прокси;- Представлена возможность использования групп для настройки привилегий подключения через прокси;- Подготовлены плагины для Netdata, WireGuard, Maltrail и Mail-Backup (PGP). На систему плагинов портированы серверы Dpinger и DHCP;- Обновлены переводы на русский язык;- Задействованы новые версии Bootstrap 3.4, LibreSSL 2.9, Unbound 1.9, PHP 7.2, Python 3.7 и Squid 4.
URL: https://forum.opnsense.org/index.php?topic=13497.0
Новость: https://www.opennet.me/opennews/art.shtml?num=51116
чем оно лучше pfsense?
в предыдущих новостях уже спрашивали-отвечали
Свежая freebsd, веб-морда удобнее, больше плагинов с установкой в один клик, а не из архивной темы на форуме.
В одной из новостей про HardenedBSD некто-то в коментах писал, что сам по себе HardenedBSD не есть плюс поскольку многие патчи автора HardenedBSD были отвергнуты сообществом FreeBSD поскольку он не понимает как работает операционная система и качество кода было низким.
Соответственно, раз это дело основано на HardenedBSD то оно внушает опасения.
> некто-то в коментах писалНу раз ОБС, то, конечно, пользоваться нельзя.
Почему нельзя, пользуйся.
Но здравый смысл подсказывает, что нескучный дистрибутив на базе другого нескучного дистрибутива на базе freebsd как минимум содержит в себе все ошибки из первой и второго плюс добавляет своих...
А можно пруфф? А то это настолько походе на фейк...
> А можно пруфф? А то это настолько походе на фейк...Я очень сильно удивлюсь, если пруф (нормальный, не высосанный из пальца) будет ))
Код я не тыкал, но патчи (а поначалу HardenedBSD был набором патчей) вполне нормальные https://github.com/HardenedBSD/hardenedBSD-patches/blob/mast...
и излишней критики по поводу качества я в списках рассылок не припоминаю:
https://lists.freebsd.org/pipermail/freebsd-arch/2014-July/0...Проблема там скорее чисто политического характера - "кор тиму" не интересно, потому что грантов под это не видать.
Ну и проблемы "излишней сикурности" выплывают. См. причины, почему излишне "харденед" линукс тоже не особо массово любят, как и причины, почему когда-то патчи grsecurity не пошел в мейнлайн:
https://lkml.org/lkml/2009/1/3/126
> lots of totally insane and very annoying and invasive code.
>но патчи (а поначалу HardenedBSD был набором патчей) вполне нормальные
> ...
>Проблема там скорее чисто политического характера
>...
>См. причины, почему излишне "харденед" линукс тоже не особо массово любятВы сами себе противоречите, вы утверждаете что патчи нормальные и игнорируются чисто по политическим соображениям и тут же приводите пример с "харденед" линукс который массово не особо любят не потому, что гранты не выделяют, а потому что многое отваливается/перестаёт работать. Может вам всё таки стоит признать, что пачти для hardednedbsd, как минимум в теории могут приводить к таким же последствия, к значительному количеству не работающего софта?
Да и на счёт grsecurity, как раз вчера в комментах на этом сайте нашёл инфу, что сам Линус который Торвальдс когда мерджил патчи grsecurity нифига не разобрался в них и некоторые куски кода просто не вмерджил (а зачем, он же Линус ему виднее) и что один из разрабов grsecurity писал об этом (была ссылка на его сообщение). Так вот я не исключаю, что и разработчики FreeBSD тоже не до конца разобрались в патчах которые потом стали HardenedBSD и не стали их мерджить.
Кстати, вот эти ссылки которые вы привели выше, вы из привели потому что давно читаете эти рассылки?
Как мне тоже быть в теме? Читать одни рассылки хватить для этого? Если хватит то какие рассылки lkml, freebsd-arch?
Оригинальное сообщение поищи, если не ошибаюсь, в комментах в теме про выход HardenedBSD 11. И сможешь спросить у автора коммента почему hardenedBSD ненадёжен.
update: не могу найти тот коммент, вчера тут через поиск искал в темах про hardenedbsd, ghostbsd, freebsd, openbsd и в одной из тем было конкретно про качество кода автора hardenedbsd и что его пачти игнорировали из-за не понимания работы операционной системы и плохого качества.
еще больше шва_бодки, в остальном отстающие
т. е. даже первый абзац не способны прочесть про основные отличия этих двух продуктов ?
да прочитать в состоянии.
токма там туфта про полную свободу и независимость. более ничего.
а если с точки зрения критериев придуманных в мозгу тебе никто со стороны не скажет, ставь оба и тестируй, понравившийся в прод
С тем же успехом можно спросить чем pfsense лучшего оного.
С тем же успехом можно спросить чем pfsense лучшего оного.
Зело годный софт, года 3 назад перешёл на него после заявлений о прекращении поддержки 32 разрядный архитектур в pfsense. Более бодрые обновления, веб-морда осмысленнее, плагинов дохлых в каталоге меньше.
убедили. попробую.
> Зело годный софт, года 3 назад перешёл на него после заявлений о
> прекращении поддержки 32 разрядный архитектур в pfsense. Более бодрые обновления, веб-морда
> осмысленнее, плагинов дохлых в каталоге меньше.может ли перенести конфигурацию из pfSense и насколько корректно...?
использую CARP, планирую прокинуть транк с ВЛАНами вместо отдельных портов на OVS
в пфСенс не нра работа дхцп+днс - имена "выпадают" для хостов
причем таблица аренды отличается на CARP шлюзах
В первых выпусках после форка точно мог и делал это корректно, а сейчас не знаю за ненадобностью.
> В первых выпусках после форка точно мог и делал это корректно, а
> сейчас не знаю за ненадобностью.у меня не получалось, часть инфы не переносилась, а настраивать заново было влом, так и остался с пфСенс
Охотно верю. Но переконфигурирование роутера — это не самая сложная задача, особенно когда есть конфигурация, которую надо только повторить )))
если речь о клацание в вебморде - это слишком ;)
если о правке конфига - при их различии не представляю как
роутер + нат + дхцп (с исторически сегментированным пулом + пфСенс принципиально не делает "фиксацию" адреса из пула) + CARP - у меня косоглазие разовьется ;)
не настолько критичен переход, чтобы потратить свое время на повторение настройки
> если речь о клацание в вебморде - это слишком ;)
> если о правке конфига - при их различии не представляю как
> роутер + нат + дхцп (с исторически сегментированным пулом + пфСенс принципиально
> не делает "фиксацию" адреса из пула) + CARP - у меня
> косоглазие разовьется ;)
> не настолько критичен переход, чтобы потратить свое время на повторение настройкиНу а мне не настолько критично покупать х64 роутер, чтобы продолжать пользоваться pfsense при моём 100-мегабитном и-нете на два компа и четыре мобильных устройства + телевизор. Каждому своё )))
Как-то провозился с ним дня 2, нужно было именно PPTP поднять для совместимости с другой стороной. В результате поставил CentOS и настроил все за час. Но возможно как-нибудь попробую еще раз, так как уже на IPSEC перешли
с PPTP там - даже читая man - работы минут на 40 *максимум*. Но это же man читать надо... НЕ каждый сможет.
Жаль они сам PF не пилят - отстаёт же от OpenBSD'шного, и работает медленнЕе, чем мог бы.Интересно, что там в нём с ALTQ - тоже выпилили, гады?
> Задействованы новые версии Bootstrap 3.4ага, новые...учитывая, что последняя версия 4.3.1
Видимо, опечатка — последня версия третьей ветки 3.3.7.
О! Рулез. А то тож огорчился, когда узнал что pfSense прекратил поддержку x86, а тот всё ровно в этом плане.