Анонсирован (https://blog.pfsense.org/?p=1546) выпуск компактного дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.2 (http://pfsense.org). Дистрибутив основан на кодовой базе FreeBSD 10.1 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно (http://ftp.inf.utfsm.cl/pub/pfsense/downloads/) несколько образов для архитектур i386 и amd64, размером от 80 до 140 Мб, включая LiveCD и образ для установки на USB Flash.Управление дистрибутивом производится через web-интерфейс. Для организации выхода пользователей в проводной и беспроводной сети может быть использован Captive Portal, NAT, VPN (IPsec, OpenVPN и PPTP) и PPPoE. Поддерживается широкий спектр возможностей по ограничению пропускной способности, лимитирования числа одновременных соединений, фильтрации трафика и создания отказоустойчивых конфигураций на базе CARP. Статистика работы отображается в виде графиков или в табличном виде. Поддерживается авторизация по локальной базе пользователей, а также через RADIUS и LDAP.
<center><a href="https://www.pfsense.org/img/screenshots/1.png"><img src="http://www.opennet.me/opennews/pics_base/0_1422116276.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
Основные новшества (https://doc.pfsense.org/index.php/2.2_New_Features_and_Changes):- Обновление кодовой базы до FreeBSD 10.1 (в прошлом выпуске использовался FreeBSD 8.3);
- Для управления ключами IPsec вместо ранее используемого racoon задействован strongSwan, что позволило обеспечить поддержку AES-GCM и IKEv2;
- В состав включены драйверы PVHVM и обеспечена возможность работы под управлением системы виртуализации Xen;
- Интерпретатор PHP обновлён до версии 5.5. Работа web-интерфейса переведена с использования FastCGI на PHP-FPM. Captive portal переведён на использование PHP-модуля SQLite3;
- В http-сервере lighttpd отключена поддержка небезопасного SSLv3 и шифров RC4;
- Добавлен и включен по умолчанию резолвер на базе DNS-сервера Unbound. Отключен для новых установок ранее предлагаемый сервис перенаправления DNS-запросов на базе dnsmasq;
- Имена сетевых интерфейсов изменены с vr на em;
- В межсетевом экране добавлена возможность использования p0f (http://lcamtuf.coredump.cx/p0f3/) для привязки правил к сигнатурам, определяющим тип ОС (например, можно блокировать пакеты от Windows XP);
- Обеспечена проверка целостности пакетов по цифровой подписи и источников пакетов по SSL-сертификату сервера. Добавлен вывод предупреждений для неофициальных репозиториев;
- Расширены возможности, связанные с OpenVPN, DHCP, NAT, пакетным фильтром и CARP.Дополнительно можно отметить корректирующий выпуск (http://opnsense.org/opnsense-15-1-2-released/) дистрибутива OPNsense (http://opnsense.org), в рамках которого недавно основан (http://www.opennet.me/opennews/art.shtml?num=41391) форк pfSense, отличающийся гибкими возможностями кастомизации, полным доступом к сборочному инструментарию, иными критериями качества и привлечением сообщества к разработке, без необходимости подписания соглашения по передаче имущественных прав на код.
URL: https://blog.pfsense.org/?p=1546
Новость: http://www.opennet.me/opennews/art.shtml?num=41531
Выглядит круто, хотя на практике вещь не особо нужная.
Вещь на практике - незаменимая. На вид лично мне - плевать, юзабилити на уровне.
разве что для вантузятников, которые не могут роутер руками настроить.
Не в обиду, у большинства роутеров морда нынче симпатичнее.
Оно умеет динамическую балансировку?
Балансировку и что хочешь. Даже не знаю есть ли что он не закрывает в плане граничных осей.
какая разница через какой интерфейс настраивать?
Я думал главное чтобы работало стабильно. А оказывается чтобы только через чорную консоль - только тогда работает правильно!
Не, пфсенс - это такой нищебр0д-вариант для тех, кто не может купить некрософт_ТМГ_сервер.
Ну проснулся уж как 3 года не продается TMG ))
Честно, не знал. Просто слово краем глаза услышал.
Но лососнуть публично ты всё равно смог. Прайд парад гордится тобой! :)
Ребята, какая ось на данный момент в тренде для роутеров ? Если не pfsense?
линукс
садись 2.
линукс - НЕ ОСЬ.
> садись 2.
> линукс - НЕ ОСЬ.чего минусуем то? линукс - не ось. линукс - ЯДРО.
ось - ГНУ/Линукс
но по аналогии с pfsense вопрос касался выбора дистрибутива,
а не демонстрации ненависти к FreeBSD
> Ребята, какая ось на данный момент в тренде для роутеров ? Если
> не pfsense?Untangle
Juniper
Тогда уже JunOS, умник
Ты еЯ поставишь на писюк, умник? %) Тогда ставь IOS уле там.
Дурак? JunOS на базе фряхи, ставится на "писюк" с минимальными усилиями. Гугл в помощь.
Муха-ха. И это чмо судит о чьём то апов уровне?!?!
> Ребята, какая ось на данный момент в тренде для роутеров ? Если
> не pfsense?openwrt. земечательно работает на роутере на атомной плате.
потому что pfSense на ней не загружается. А так не было бы смысла. Pfsense на три головы выше как ос для роутера.
> openwrt. земечательно работает на роутере на атомной плате.OpenWRT - замечательнейшая штука, глупо спорить.
Но на ARM-е и для home-router.
> OpenWRT - замечательнейшая штука, глупо спорить.
> Но на ARM-е и для home-router.И на MIPS. Да и на х86 собирается. А чем х86 такой особенный что недостоин сборок опенврт?
А так он имеет предложить все что умеет линукс. А умеет он применительно к сетям чуть более чем дофига.
>> OpenWRT - замечательнейшая штука, глупо спорить.
>> Но на ARM-е и для home-router.
> И на MIPS. Да и на х86 собирается. А чем х86 такой
> особенный что недостоин сборок опенврт?Ничем - но атом не процессор а кусок ... Ынтеля :)
То есть тормозит как ARM не креется и жрёт как взрослый - ну и напуркуа оно надо?
> А так он имеет предложить все что умеет линукс. А умеет он
> применительно к сетям чуть более чем дофига.Ути пуси. Чтобы это реализовать ты дашь рутовый пароль и ssh доступ седожопому одмину (мне хотябы :) А домохозяйка ч\з веб консоль сможет (если умная, а не красивая) сделать только что есть в вебне ... Но это и к pfSense точно так же относится.
Ты, видеть, не пробовал современные Rangeley и Silvermont.
Особенно C2758, на базе которого я себе как раз собрал роутер. Особо примечателен он тем, что умеет QuickAssist, который офигенно вкусный.
Выше любых армов и старых атомов на голову.
> Ты, видеть, не пробовал современные Rangeley и Silvermont.Нет не пробовал, признаю.
> Ничем - но атом не процессор а кусок ... Ынтеля :)
> То есть тормозит как ARM не креется и жрёт как взрослый - ну и напуркуа оно надо?Я тоже не особо понимаю их смысл, но они есть. Ну хочется интелу на этот рынок, вот и пыжатся. Кому они нравятся - в их праве. Можно и на что-то помощнее пристроить, если хочется.
> Ути пуси. Чтобы это реализовать ты дашь рутовый пароль и ssh доступ
> седожопому одмину (мне хотябы :)Для начала в опенврт половина наворотов реализуеся прямо из морды. Там довольно продвинутая морда, вовсе не считающая что мир кончается на LAN+WAN. Понятно что совсем продвинутости все-таки из консоли, но и там - стройный и логичный UCI для начала. Можно долго спорить хорошо ли такое управление а-ля цыски, но для гейтвея это довольно удобно.
> ... Но это и к pfSense точно так же относится.
У опенврт есть специфичный плюс - просто ребилдить образа под конкретику. Можно например дефолты и набор пакетов под задачу сформировать заранее. А с остальным справится даже эникей/монтажер зачастую.
а слово микротик тут не запрещено?
Хотя штука крайне сомнительная
> а слово микротик тут не запрещено?
> Хотя штука крайне сомнительнаяНекротик не нужен, ибо бесполезен и проприетарен. Слово не запрещено, но с таким же узбеком можно поднять роутер и на вантузе :(
> а слово микротик тут не запрещено?
> Хотя штука крайне сомнительнаяА что в ней такого сомнительного? Работает, периодически допиливается. В соотношении цена-надежность- ИМХО самое то...
Сомнительного много.
1.непонятно как там с GPL.
2.закрыто по самые уши.
3.утилиты только под винду.
4.как следствие 2 - полное маразма предложение запустить openwrt на виртуальном роутере. А работает оно.... фантастически. виртуальный роутер простаивая хапает все ресурсы - и реальный роутер уходит в ступор. Лучше бы уж не делали чем так позориться.
4.для домашнего роутера функционал убог - нет торрентокачалки, нет медиасервера. да, это не функции роутера. но дома... нет(вроде, не искал замену) iptv proxy.
5.для типа-SOHO роутера нет никакой телефонии. тоже не функции роутера, однако не хватает иногда.
6.зато есть BGP и проч протоколы радости роутинга. зачем? хз. мне что автономную систему на нем поднимать? :) а памяти то хватит?
> Сомнительного много.
> 1.непонятно как там с GPL.
> 2.закрыто по самые уши.От этого он хуже работает?
> 3.утилиты только под винду.
WinBox (хотя зачем он?) и btest отлично через вайн работают.
> 4.как следствие 2 - полное маразма предложение запустить openwrt на виртуальном роутере.
> А работает оно.... фантастически. виртуальный роутер простаивая хапает все ресурсы -
> и реальный роутер уходит в ступор. Лучше бы уж не делали
> чем так позориться.ничего не могу сказать по этому поводу, не юзал, хотя в инете писали, что запускали астериск на нем и все работало (на виртуальном роутере)
> 4.для домашнего роутера функционал убог - нет торрентокачалки, нет медиасервера. да, >это не функции роутера. но дома... нет(вроде, не искал замену) iptv proxy.
Это роутер, а не все в одном. Лично мне нужна надежность.
> 5.для типа-SOHO роутера нет никакой телефонии. тоже не функции роутера, однако не
> хватает иногда.Опять же, это роутер. Если нужно все в одном- можно поставить сервер, но с ним плясок больше ИМХО
> 6.зато есть BGP и проч протоколы радости роутинга. зачем? хз. мне что
> автономную систему на нем поднимать? :) а памяти то хватит?Ну необязательно fv сливать :) bgp и прочие GP идут на всех моделях.
>От этого он хуже работает?Возможно нет, но при наличии shell или возможности поставить opkg некоторые вопросы отпали бы сами по себе. Желания изучать пусть и немудреный командный язык тоже нет - ЗАЧЕМ
>WinBox (хотя зачем он?)
ну в последней редакции не все навороты доступны без него. впрочем, под WINE он тоже живет. Это если есть WINE
>ничего не могу сказать по этому поводу, не юзал, хотя в инете писали, что запускали астериск на нем и все работало (на виртуальном роутере)
а я проверил. возможно не на том образе, но официальный очень уж древний. Работет сначала. Потом начинает тормозить основной роутер %) был в шоке.
> то роутер, а не все в одном. Лично мне нужна надежность.
в pfsense это есть. как опция. в опенврт тоже. Это иной раз позволяет построить некую простую систему не ставя лишнюю железку там где и одной много. например удаленный офис с 2-3 рабочими местами. или дома опять же. Все работает с openwrt. с микротиком - хрен. мне даже пофигу что мой SMART-TV ломанут. ибо он нафиг никому не нужен. А вот посмотреть на нем кино при отключенном компе необходимое удобство. так что ИМХО домой - непригоден.
И самое обидное - купив микротык (изза иллюзии разумности построения железа) поставить на него опенврт можно уже не всегда. то есть микротики такого высокого мнения о себе, что поддержать необходимыми патчами опенврт не судьба.
> От этого он хуже работает?От этого из микротика очень грабельно и неудобно делать продвинутый/многофункциональный гейтвей. И да, какие-то левые заморочки с лицензиями на какой-то там роутерос и адские пляски с бубном для кастомизации их как-то совсем не украшают.
> WinBox (хотя зачем он?) и btest отлично через вайн работают.
А можно еще гланды через ж...у автогеном удалять.
> Это роутер, а не все в одном. Лично мне нужна надежность.
Это обычные железки похожие по содержимому на обычные роутеромыльницы среднего ценового сегмента но зачем-то опроприетареные по самое небалуйся.
>> От этого он хуже работает?
> От этого из микротика очень грабельно и неудобно делать продвинутый/многофункциональный
> гейтвей. И да, какие-то левые заморочки с лицензиями на какой-то там
> роутерос и адские пляски с бубном для кастомизации их как-то совсем
> не украшают.Какие пляски с лицензиями? Если мы говорим про сервер (роутер+ торренткачалка+ смотрелка ТВ+ хранилище), да- лучше его делать на линусках/bsd кто спорит то, а если нужен просто роутер- то ИМХО надежнее, если это будет какая-нить железка без винта, без куллеров и прочего что может сломаться.
>> WinBox (хотя зачем он?) и btest отлично через вайн работают.
> А можно еще гланды через ж...у автогеном удалять.Ну кому что удобно. Меня работа софта через вайн ну совсем не напрягает, если она полностью поддерживает свой функционал.
>> Это роутер, а не все в одном. Лично мне нужна надежность.
> Это обычные железки похожие по содержимому на обычные роутеромыльницы среднего ценового
> сегмента но зачем-то опроприетареные по самое небалуйся.Да, вот только такая роутеромыльница стоит у меня уже 2 года и ни разу не перегружался. Да и настраивать его удобнее, чем тот же pfSense
>1.непонятно как там с GPL.Всё понятно — никак.
>Ребята, какая ось на данный момент в тренде для роутеров ? Если не pfsense?vyos
Плюсую этого товарища.
Пользуюсь им 7-ой год. Лучшего софт-роутера
на данный момент нет. А учитывая переход на freebsd 10.1, то вообще КРАСОТА!
> Пользуюсь им 7-ой год.О! И я где то так же :)
> Лучшего софт-роутера на данный момент нет.Щас тебя сожрут :) Но мне тоже $subj нравится.
Как и где я его юзаю? Понятно что не в core network, там у меня только сиськи и жунипёры ...
Но нужно окучивать туеву хучу маленьких удалённых оффисов с серверами (по смыслу :) не по железу) внутри (специфика клиентов). Так я закупился вот этим: http://soekris.com/products/net5501.html, проапгрейдил сторидж (оно сейчас по цене мусора) и рассувал по таким точкам. Дешево и работает как из пушки уже который год! :)Не знаю как на таком железе себя 10-ка поведёт, протестирую. Но если всё Ок - заапгрейжусь наверняка.
Осталось добавить что как настоящий солярщик и бсдшник ты всем этим рулишь из putty.exe :)
> Осталось добавить что как настоящий солярщик и бсдшник ты всем этим рулишь из putty.exe :)Не всегда - а только когда твою жену навещаю. Хрен вас поймешь - ей нравится, а ты вот гундосишь чего то :)))
>> Осталось добавить что как настоящий солярщик и бсдшник ты всем этим рулишь из putty.exe :)
> Не всегда - а только когда твою жену навещаю. Хрен вас поймешь
> - ей нравится, а ты вот гундосишь чего то :)))Ай, красава! И от меня ей палку вдуй! :-)
>>> Осталось добавить что как настоящий солярщик и бсдшник ты всем этим рулишь из putty.exe :)
>> Не всегда - а только когда твою жену навещаю. Хрен вас поймешь
>> - ей нравится, а ты вот гундосишь чего то :)))
> Ай, красава! И от меня ей палку вдуй! :-)Ещё один бздун-прихлебатель. Да, можешь свободно просить вдуть. И за себя, и себе.
> Ещё один бздун-прихлебатель. Да, можешь свободно просить вдуть. И за себя, и себе.Я ж говорил - нравится только ей, а этог гундосит :)
> Не знаю как на таком железе себя 10-ка поведёт10.1 на этом железе себя показала на отлично.
>> Не знаю как на таком железе себя 10-ка поведёт
> 10.1 на этом железе себя показала на отлично.Верю ... но таки буду тестить сам :) НичО личного.
Не хватило денег на некрософт_тмг_сервер или керио?
Как производительность у сетевых карт virtio в FreeBSD 10?
С 2 гигабитным картами по крайней мере просадок нет.
Перечитай вопрос ещё раз. Там про виртио спрашивали.
Только вчера 2.1 поставил
На базе OpenBSD надо бы делать такое...Кто глядел OPNsense их тулзы тяжело будет на OpenBSD портировать?
> На базе OpenBSD надо бы делать такое...Есть Cisco-like CLI: http://www.nmedia.net/nsh/ Все остальное от лукавого.
>> На базе OpenBSD надо бы делать такое...
> Есть Cisco-like CLI: http://www.nmedia.net/nsh/ Все остальное от лукавого.Ну лан, минусователь ты мой дорогой. Есть еще такое: http://securityrouter.org/wiki/Main_Page
Pfsense шикарен! Никакие пропиетарные Kerio Control-ы и рядом не валялись!
> Pfsense шикарен! Никакие пропиетарные Kerio Control-ы и рядом не валялись!А как же распилы?
На самом деле очень толковая система. Есть серваки, которые с Аптаймом больше 3-х лет стоят и есть не просят.
Юзабилити на высоте, простота в настройках и пашет как паровоз
Сырой конечно еще, багов целое ведро. Надо ждать 2.2.1 хотя бы.
каких именно багов ? уточните пожалуйста
и может ли он множественные VPN соеденения тоесть чтоб пользователи кому он отдаёт инет могут ли создавать впн в прошлом вроде gre не давало такое сделать одно подключаешь второе отцепляется
????