После двух лет разработки представлен (http://blog.pfsense.org/?p=712) выпуск минидистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.1 (http://pfsense.org). Дистрибутив основан на кодовой базе FreeBSD 8.3 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно (http://ftp.inf.utfsm.cl/pub/pfsense/downloads/) несколько образов для архитектур i386 и amd64, размером от 80 до 180 Мб, включая LiveCD и образ для установки на USB Flash.
Управление дистрибутивом производится через web-интерфейс. Для организации выхода пользователей в проводной и беспроводной сети может быть использован Captive Portal, NAT, VPN (IPSec, OpenVPN и PPTP) и PPPoE. Поддерживается широкий спектр возможностей по ограничению пропускной способности, лимитирования числа одновременных соединений и фильтрации трафика. Статистика работы отображается в виде графиков или в табличном виде. Поддерживается авторизация по локальной базе пользователей, а также через RADIUS и LDAP.
Основные новшества (https://doc.pfsense.org/index.php/2.1_New_Features_and_Changes):
- Поддержка IPv6: в большинстве секций web-интерфейса теперь возможна настройка конфигурации IPv6. В том числе, IPv6 доступен в секциях настройки межсетевого экрана, маршрутизации, CARP, DHCP, туннелирования, VPN, DNS, PPPoE и т.д.
- Поддержка установки дополнений, оформленных в форме пакетов в формате PBI, используемом проектом PC-BSD;
- Поддержка RIP (routed), OLSRD и Unbound выделена в отдельные пакеты;
- Переход на кодовую базу FreeBSD 8.3, обновление драйверов Atheros, OpenSSL 1.0.1e, PHP 5.3.x, OpenVPN 2.3.x;
- Переработан управляющий web-интерфейс, который переведёт с JavaScript-библиотеки Prototype на jQuery. Улучшена навигация и отображение состояния сервисов, добавлена многоязычность, расширено применение AJAX для обновления информации без перезагрузки страницы;- Возможность создания пользователей для доступа в интерфейс с ограничением только на чтение;
- Расширены возможности Captive Portal (организации входа пользователей в сеть через аутентификацию на специальной web-странице ). Добавлена поддержка использования единого Captive Portal для разных сервисов и возможность аутентификации через разные серверы RADIUS (один для пользователей, другой для входа по картам). Возможность создания пользователей с привилегиями доступа только к Captive Portal;
- Опциональная поддержка установки с использованием только RAM-диска для разделов /var и /tmp, минимизирующая операции записи на базовый носитель;
- Поддержка Multi-WAN (переключение на запасной линк в случае сбоя первичного) для DynDNS, IPsec и OpenVPN;
- Расширены возможности, связанные с IPsec, OpenVPN, DHCP, NAT, пакетным фильтром, CARP;
- Увеличена гибкость работы с логами. Разные типы логов (система, маршрутизация, резолвинг и т.п.) разделены по отдельным вкладкам. Лог пакетного фильтра может быть отфильтрован по различным критериям и отсортирован по любому столбцу.URL: http://blog.pfsense.org/?p=712
Новость: http://www.opennet.me/opennews/art.shtml?num=37918
нууу при прошлом апдейте они отломали резолвинг и автодозвон. интересно, что сейчас отвалится?> Поддержка Multi-WAN (переключение на запасной линк в случае сбоя первичного) для DynDNS, IPsec и OpenVPN;
годно
> Поддержка установки дополнений, оформленных в форме пакетов в формате PBI, используемом проектом PC-BSD;
негодно; вероятность шаловливых рук у клиента все-таки не нулевая.
8.3? Какой роутер можно на этом постоить? ipfw там имеет дикие ограничения, например на количество таблиц, и другие наглухо захардкоденные параметры. pf и по сей день однопоточный. NG модулей в 8.3 многих нет. Скажем ipfw nat из 8.3 на простых десктопных гигабитных сетевухах вытянет ну может 100 Мб/с, и то загрузка процессора будет под 100% по прерываниям, я думаю в районе 10-15k pps. Почему они не делаю это на 9-S? Там уже и ipfw подкрутили вроде (тем не менее по сравнению с iptables он не умеет ничего), в 10-ке даже pf будет многопоточный.
Они делают для себя то, что их устаривает, и по фану делятся результатом.
> 8.3? Какой роутер можно на этом постоить?маленький и дешевый.
> ipfw nat из 8.3 на простых десктопных гигабитных сетевухах вытянет ну
> может 100 Мб/с, и то загрузка процессора будет под 100% поповторяю, маленький и дешевый. сто мегабит аплинк - это не сюда, для клиента это не фактор.
> маленький и дешевый.Щаз. Иди переплюнь вон те мыльницы с магазинной полки по 50 баксов по размеру и цене. А кому мало фабричной фирмвари - openwrt есть. Вот это - маленький и дешевый.
> повторяю, маленький и дешевый.
А это ставится 50-баксовая железяка. Только там сабж - вообще ни о чем.
Эти дешёвые выкидыши затыкаются на нагрузке от одного клиента уже. Качество железа там вообще на высоте. Вот валяется недавно купленная такая д-линковская (линуксовая) поделка 1155.
Ну так и сабж на том же уровне. "Маленький и дешевый", ага :)
>> маленький и дешевый.
> Щаз. Иди переплюнь вон те мыльницы с магазинной полки по 50 баксов
> по размеру и цене. А кому мало фабричной фирмвари - openwrt
> есть. Вот это - маленький и дешевый.да тащемта регулярно переплевываются, как только клиенту надоедает рестартовать их по пять раз на дню и звонить в саппорт с вопросами "у миня опять не работаит" или "пачиму на моем 10мегабитном! подключении попетепе випеэн больше 4 мегабит не тянет? пошто трафик режете, гады???7".
если клиент не хочет странного, ему потом покупается какой-нибудь линксис или циска rv например, а если хочет - тут pfsense вполне себе имеет нишу.
>> повторяю, маленький и дешевый.
> А это ставится 50-баксовая железяка. Только там сабж - вообще ни о
> чем.про $50 роутеры - это сказка, такая же, как про деда Мороза или "компьютер за $35".
с опенврт такие железки затыкаются еще раньше из-за отсутствия проприетарных модулей fastnat и прочих.
> с опенврт такие железки затыкаются еще раньше из-за отсутствия проприетарных модулей fastnat
> и прочих.та они и с родной прошивкой...
я в таких случаях брал какую-нибудь пузомерку покрасивее и демонстрировал клиенту сначала прямое подключение с ноута, а потом через его "оптимальный по соотношению цена/качество" кал. на них в этот момент приятно смотреть было, из головы прямо на глазах всплывал пузырь с текстом "кажется, меня где-то наебывают..."
> я в таких случаях брал какую-нибудь пузомерку покрасивее и демонстрировал клиенту сначала
> прямое подключение с ноута, а потом через его "оптимальный по соотношению
> цена/качество" кал. на них в этот момент приятно смотреть было, из
> головы прямо на глазах всплывал пузырь с текстом "кажется, меня где-то
> наебывают...""Повторяю, маленький и дешевый"©
> да тaщемта регулярно переплевываются, как только клиенту надоедает рестартовать их по пять
> раз на дню и звонить в саппорт с вопросами "у миня
> опять не работаит" или "пачиму на моем 10мегабитном! подключении попетепе випеэн
> больше 4 мегабит не тянет? пошто трафик режете, гады???7".Клиент хотел маленький и дешевый роутер - он его получил.
> тут pfsense вполне себе имеет нишу
Какую, если не секрет?
> 8.3? Какой роутер можно на этом постоить? ipfw там имеет дикие ограничения,
> например на количество таблиц, и другие наглухо захардкоденные параметры. pf и
> по сей день однопоточный. NG модулей в 8.3 многих нет. Скажем
> ipfw nat из 8.3 на простых десктопных гигабитных сетевухах вытянет ну
> может 100 Мб/с, и то загрузка процессора будет под 100% по
> прерываниям, я думаю в районе 10-15k pps. Почему они не делаю
> это на 9-S? Там уже и ipfw подкрутили вроде (тем не
> менее по сравнению с iptables он не умеет ничего), в 10-ке
> даже pf будет многопоточный.Вы зайдите на гитхаб и посмотрите сколько там переделано\добавлено. Вы не сравнивайте этот дистр с голой FreeBSD 8.3.
>Какой роутер можно на этом постоить?у меня такой роутер крутится в виртуалке на VMWare. Выпускает в Инет (авторизация через RADIUS + Active Directory) порядка 100 юзеров, плюс сервера и т.д. Пускает из Инета через VPN всяких внешних юзеров. Особых проблем нет, так, мелкие неудобства только.
Вполне годная штука для "собрал на коленке, мышкой в браузере потыкал и забыл".
>Выпускает в Инет (авторизация через RADIUS + Active Directory) порядка 100 юзерова можна не в юзерах, а в мегабитах и пэпээсах?
А че такое пэпээс?
- Сэржант Петрэнко, патруль трафика. Пакетики в канале предъявили для осмотра.
>>Выпускает в Инет (авторизация через RADIUS + Active Directory) порядка 100 юзеров
> а можна не в юзерах, а в мегабитах и пэпээсах?Низя. Это ж нанотехнологии, а они - военная тайна.
фряху люблю и уважаю, на старых серверах юзаю ессно ipfw + kernel nat, pf -> фтопку, на новых уже давно идут дебиановны.Пробовал pfsense ИМХО - УГ, кроме полуняшной, но бесполезной вебморды нет в нём ничего хорошего.
Грамотный админ парой скриптов и конфигов сделает всё то, что оно умеет, будь то на бзде с ипфв или на пингвине с иптэйблами.
Получается, что фряха уже не имеет преимуществ при использовании в качестве маршрутизатора? Чаще всего ее так и юзают, ну еще для nas реже. Линукс и универсальнее и лучше в деталях?
Грамотный!! как раз не станет парой скриптов еб...ть себе мозги а поставит пфсэнс, моновол или что рядом и забудет. А вот красноглазый школьник прочитавший первые 30 страниц хэндбука для самоутверждения - таки да, постарается навалять "пару скриптов". При чем каждый скрипт заработает ой как не сразу, а многие бока вылезут и будут вылазить еще долгое время.Ну а если ты решил щегольнуть - нука наваляй парой скриптов маршрутизатор с натом да с шэйпером, да еще что бы грузился за 5 сек и размер был не больше 20метров. А мы тут рассмотрим твой вариант.
Тащемта этот ваш пфсенс на Celeron 2000Mhz грузиться далеко не 5 сек, а всю минуту.
Да, сеть появляется секунд через 40, но... Тот же Линукс взлетает раза в 1.5 быстрее.
У меня например скриптов не пара, а штук 30-40 уже набралась на разные случаи жизни, от обработки данных и правил фаервола - до парсинга писем из папки спам и добавления доменов в список postfix-a с перечитыванием конфига, рипа погоды с местного сайта в conky ))Пытался на этот pfsense поставить софт из портов freebsd - что-то сломалось после перезагрузки. А родных "плагинов" мало, например полноценного ДНС-сервера в прошлой версии не было кроме Бинд-а, а он не вставал из их офф плагина. Nginx с php-fpm вроде тоже не наблюдалось. Ну короче огрызок с вебкой для тех, кто консоль не осилил.
Мне нравится преемственностью. Со времён 1.х ничего не ломалось кроме вышеупомянутого резолвинга, который получил патч через несколько часов после релиза (но официальный релиз с фиксом они затянули, это правда). На мои 20 мегабит WAN и 100 мегабит LAN c головой хватает Alix Board (на котором ещё Squid, раздача Wi-Fi и OpenVPN сервер с аппаратным шифрованием). Да, надеюсь, реализовали поддержку n диапазона в Atheros.
Чем pf то не угодил? Хотя мне особо сравнивать не с чем. Предпочитаю опенка ставить на шлюзы. Для конторки в 120 ПК и парой любителей через VNC сидеть из дома вполне хватает.
Чем оно лучше vyatta?
Кто-нить может прокомментировать в сравнении с WANem? Это вообще из той же оперы?
Zentyal проще и русифицирован. Пользуюсь им.