The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск дистрибутива для создания межсетевых экранов OPNsense 16.7

28.07.2016 21:20

Состоялся релиз дистрибутива для создания межсетевых экранов OPNsense 16.7, в рамках которого развивается форк проекта pfSense. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Готовые сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (219 Мб).

Особенности нового выпуска:

  • Обновление системных компонентов до FreeBSD 10.3 с дополнительной интеграцией патчей для рандомизации адресного пространства (ASLR), разработанных проектом HardenedBSD;
  • Включение в состав системы обнаружения и предотвращения сетевых вторжений Suricata 3.1.1 с задействованием движка регулярных выражений Intel Hyperscan;
  • Система отчётов и экспорта информации о трафике на основе NetFlow;
  • Режим ограничения трафика на базе алгоритмов CoDel / FQ-CoDel;
  • Поддержка двухфакторной аутентификации c применением одноразовых паролей, соответствующих RFC 6238 (TOTP - Time-based One-time Password);
  • В прокси-сервере добавлена поддержка HTTPS и ICAP;
  • Возможность загрузки и установки на системы с UEFI;
  • Значительное обновление перевода элементов интерфейса на русский язык.

Напомним, что целью создания OPNsense является желание сформировать открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. При этом, в отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Из других отличий отмечается новый полностью открытый сборочный инструментарий, более жесткие критерии качества кода, возможность установки в форме пакетов поверх обычного FreeBSD, переписанный Captive Portal, перевод GUI на JavaScript-библиотеку Bootstrap и MVC-фреймворк Phalcon, повышенные требования к безопасности (GUI не должен вызывать операции, требующие root).

Среди возможностей OPNsense можно выделить средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков. Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.



  1. Главная ссылка к новости (https://opnsense.org/opnsense-...)
  2. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.3
  3. OpenNews: Доступен OPNsense 16.1, форк дистрибутива для создания межсетевых экранов pfSense
  4. OpenNews: В рамках проекта OPNsense основан форк дистрибутива для создания межсетевых экранов pfSense
  5. OpenNews: Выпуск системы обнаружения атак Suricata 3.1
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44869-opnsense
Ключевые слова: opnsense
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, dengolius (?), 21:47, 28/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    pfsense  обещали запилить для arm, вот жду недождусь, а это сольется быстро
     
     
  • 2.2, Anonim3 (?), 22:08, 28/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На данный момент у pfsense есть проблемы. https://forum.pfsense.org/index.php?topic=115826.0
     
     
  • 3.3, adminlocalhost (ok), 22:37, 28/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "на даннный момент"?  
    какое затяжное чуйство "момента"..  Сколько раз за "данный момент" у тебя сменилось за окном белое на зеленое? Огненный файрбол сколько раз пролетел?
     

  • 1.4, Аноним (-), 23:22, 28/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    мне нужно было на squid ssl bump. хз как щас но год назад пфсенс не умел(который уже стоял до меня).
    с одной стороны удобно конешно. но придет время когда поставят задачу которую  на этих вебмордах не выполнишь. и будешь потом начальству объяснять, что нужно время для миграции и переноса настроек.
    я конешно сделал просто и через жопу -с пфсенса перебросил веб порты на вирт.машинку со сквидом, а она потом лезла через пфсенс.
    аналогичная фигня с микротик и фрипбх. а перенести настройки с эластикса например вообще нереально. тупо с нуля все делать.
     
     
  • 2.13, Аноним (-), 10:03, 29/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    SSL-bump? Ого, стрёмная у вас контора. Просто в наше время, обычно одного ната хватает. В остальном - полностью согласен.
    У меня, например - роутеры на виртуалках чаще всего работают. Настраиваются всего-лишь ансибиль-плейбуком. И не нужен мне никакой спецдистрибутив, вся конфигурация просто в гите лежит.
     
     
  • 3.17, SysA (?), 11:41, 29/07/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > SSL-bump? Ого, стрёмная у вас контора. Просто в наше время, обычно одного
    > ната хватает. В остальном - полностью согласен.
    > У меня, например - роутеры на виртуалках чаще всего работают. Настраиваются всего-лишь
    > ансибиль-плейбуком. И не нужен мне никакой спецдистрибутив, вся конфигурация просто в
    > гите лежит.

    роутеры? на виртуалках?? Moжет у тебя и брандмауэры на виртуалках?! :)

    А насчет управления конфигурациями ты абсолютно прав!
    Но все-таки для маршрутизаторов/брандмауэров виртуалки - это нонсенс!

     
     
  • 4.18, Аноним (-), 13:01, 29/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > это нонсенс!

    Не всегда.
    - В облаке, пусть даже на 300 физ-машин, намного проще использовать софтовые решения. Особенно, если это облако - CDN-origin. Брандмауэр можно не только вынести отдельно, но и даже купить CDN. И общаться они будут через интернет.
    - Для инфраструктуры, типа - 1-10 proxmox/opennebula-серверов для всего - есть bridge с глобальной сетью и диапазоном IP-адресов. Из проксмокса они раздаются тем виртуалкам, где они нужны. Одна из таких виртуалок - роутер с маскарадингом, подключенный во внутренние сети.

    Конечно, есть и промежуточный(классический вариант). Я так делал раньше, с отдельным PC-роутером или cisco-asa, но сейчас для меня это не стоит тех трудозатрат и железозатрат. Этому так же способствовал колокейшн инфраструктуры за рубежом.

     
  • 4.23, Анон в кедах (?), 12:42, 31/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    брендмауэр - это фаервол? что плохого в том, что роутер или фаервол крутится в виртуалке?
     

  • 1.5, Кир (?), 23:25, 28/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    конкуренция - это всегда хорошо. с их появлением пфсенс заметно активизировался, перетряхнул интерфейс, пусть и не слишком удачно на первый взгляд )
     
  • 1.6, Hile (?), 23:52, 28/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Remove PPPoE, L2TP and PPTP servers from base installation

    Наркоманы

     
     
  • 2.7, Hile (?), 23:52, 28/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    У меня чортов GPON, СПб рст - просит PPPoE

    p.s. добро пожаловать в реальность

     
  • 2.8, Аноним (-), 00:07, 29/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вырывайте из контекста - эти серверы потеряли актуальность, так как "PPTP, L2TP and PPPoE Servers ported to MPD5".
     
     
  • 3.9, Hile (?), 00:10, 29/07/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это я из контекста вырвал ?))

    https://dl.dropboxusercontent.com/u/3478682/screenshot.png

     
     
  • 4.10, Green (??), 07:23, 29/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы различаете понятия сервер и клиент?
     
     
  • 5.12, Аноним (-), 09:35, 29/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    так там и сервер нужОн. был.
    тк в телекоме малом - юзается в наших краях.
     
  • 5.14, testerenkomail.ru (?), 10:06, 29/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ДА главное работу других обгадить и сказать что не верно. А сами в базовых понятиях сервер и клиент плавают!!!
     
     
  • 6.19, Hile (?), 14:42, 29/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    На мой взгляд возникло недопонимание, серьезно.

    Я ничего не говорил про криворуких разрабов - это сугубо ваша выдумка.
    Я не засирал ни чью работу.

    Хотел сказать, что писать об одном изменении ( переносе поддержки одного протокола в другой пакет ) - стоит писать в одном пункте, а не разделять пятью. ( это отсыл к "выпаданию из контекста" ). Неужели тут все так деградировали? Ах каникулы...

     
  • 2.11, Аноним (-), 09:07, 29/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    так они специально, тк нигде почти кроме CIS - не используется. PPPoE даже уже сворачиваются помаленьку в пользу IPoE&802.1x2010(бо MacSec и PortSec уже нативно во всех железках актуальных из продаваемых).
    аналогично - дропнули поддержку ряда других специфичных фич для региона - когда минторг сша - робко "попросил" SPI и дебьян "помог им"(с выкидыванием критичного для R500 кода из мэйнстрима - та-же фигня ~).
     
     
  • 3.20, _ (??), 18:11, 29/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажи это маленкому местечковому провайдеру Bell :-(
     

  • 1.15, Аноним (-), 10:58, 29/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > перевод GUI на JavaScript-библиотеку Bootstrap

    А я то наивно думал что это прежде всего CSS-библиотека.

     
  • 1.16, Аноним (-), 11:05, 29/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В последних версиях PfSense перестал работать пакет BIND.
     
     
  • 2.26, count0krsk (ok), 20:55, 05/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > В последних версиях PfSense перестал работать пакет BIND.

    Ну и кто они после этого?

     

  • 1.21, Аноним (-), 19:38, 29/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    После m0n0wall не интересно
     
     
  • 2.22, Штунц (?), 20:51, 30/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    так m0n0wall год уже как закрылся, не?
    http://m0n0.ch/wall/end_announcement.php
     

  • 1.24, nbw (ok), 17:30, 05/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Роутер (как и файрвол и проч.) без CLI не нужен. Больше об этих поделках сказать нечего.
     
     
  • 2.27, count0krsk (ok), 21:07, 05/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Роутер (как и файрвол и проч.) без CLI не нужен. Больше об
    > этих поделках сказать нечего.

    Виндоадминам - очень даже нужен. Можно всё сделать на пиратской винде, а шлюз для безопасности на этом вот, или Микротике. Причем они их не обновляют, боятся "сломать интернет" ))

     

  • 1.28, Catwoolfii (?), 12:44, 09/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А куда же подевалось LibreSSL?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру