Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск дистрибутива для создания межсетевых экранов OPNsense 26.7

16.07.2026 20:02 (MSK)

Опубликован релиз дистрибутива для создания межсетевых экранов OPNsense 26.7, который в 2015 году отделился от проекта pfSense с целью разработки полностью открытого дистрибутива, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (490 МБ).

Начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense: полностью открытый сборочный инструментарий, поддержка установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживания состояний соединений (stateful firewall на основе pf), система ограничения пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.

На базе дистрибутива могут создаваться отказоустойчивые конфигурации, основанные на использовании протокола CARP и позволяющие запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается web-интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap и Phalcon MVC.

Среди изменений:

  • Осуществлён переход на кодовую базу FreeBSD 15.1 (ранее использовался FreeBSD 14.3).
  • Интерфейсы для настройки правил межсетевых экранов, назначения сетевых интерфейсов (разделение между LAN и WAN) и управления группами шлюзов переведены на использование MVC-фреймворка и теперь дополнительно доступны через Web API для автоматизации управления сетевой конфигурацией.
  • Добавлен мастер для миграции правил трансляции адресов со старого формата конфигурации Outbound NAT на новый формат, использующий архитектуру Source NAT (SNAT).
  • В конфигуратор KEA DHCP добавлена поддержка DDNS (Dynamic) и автоматического выделения префиксов IPv6 (блоков адресов).
  • В Captive portal добавлена поддержка IPv6.
  • Обновлены версии OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Устранена критическая уязвимость (CVE-2026-57155, уровень опасности 9.9 из 10), позволяющая непривилегированному пользователю без доступа к shell и ограниченному работой с алиасами (списки с именами сетей и хостов), выполнить код с правами root. Уязвимость вызвана отсутствием должных проверок при обработке данных из БД GeoIP c привязкой стран к IP-адресам.

    Код страны из БД GeoIP без проверки подставлялся при формировании записываемого имени файла, что позволяло перезаписать любой файл в системе, так как обработчик запускается с правами root. Через Web API непривилегированный пользователь мог указать свой URL для загрузки модифицированной БД GeoIP для алиасов. Для получения прав root в одной из записей в БД вместо кода страны можно указать "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn", что приведёт к созданию файла конфигурации для системы ротации логов, в котором могут быть определены команды, запускаемые с правами root.



  1. Главная ссылка к новости (https://www.deciso.com/buildin...)
  2. OpenNews: Выпуск дистрибутива для создания межсетевых экранов OPNsense 25.7
  3. OpenNews: Проект IPFire DBL для блокирования нежелательного контента
  4. OpenNews: Релизы дистрибутивов для создания межсетевых экранов IPFire 2.29 Core 186 и NethSecurity 8.0
  5. OpenNews: Релиз дистрибутива для создания межсетевых экранов NethSecurity 8.3
  6. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense CE 2.8.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65915-opnsense
Ключевые слова: opnsense, firewall
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 20:20, 16/07/2026 [ответить]  
  • +/
    Прям спасибо авторам этой штуки.
     
  • 1.2, Аноним (2), 20:38, 16/07/2026 [ответить]  
  • +1 +/
    > мог бы обладать функциональностью на уровне коммерческих решений

    Мог бы, но почему-то всё ещё не обладает. Для домашнего ланчика разве что сойдёт, и даже там уступает OpenWRT по всем фронтам.

     
     
  • 2.3, timur.davletshin (ok), 20:47, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • –1 +/
    OPNSense на роутер из магазина не поставить. Стоковая функциональность там намного больше... Но и antiDPI туда не воткнуть )))
     
     
  • 3.6, Аноним (2), 23:26, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    У экскаватора тоже стоковая функциональность намного больше, но мне в булочную надо, так что поеду на велосипеде.
     

  • 1.4, Аноним (4), 21:07, 16/07/2026 [ответить]  
  • +1 +/
    > Minimum required RAM is ≥ 4 GB

    В то время как OpenWRT до сих пор на 64МБ работает. Зачем оно такое жирное?

     
     
  • 2.7, Ivan_83 (ok), 23:42, 16/07/2026 [^] [^^] [^^^] [ответить]  
  • +/
    Вы просто читать не умеете.

    https://docs.opnsense.org/manual/hardware.html

    > While supported devices range from embedded systems to rack-mounted servers, the hardware must be capable of running 64-bit operating systems.
    > For substantially narrowed OPNsense® functionality there is the basic specification. For full functionality there are minimum, reasonable and recommended specifications.

    Те поставить можно на что то по проще, но чтобы весь функционал который там есть мог работать надо минимум 3Гб. Не 4 как вам наврал ИИ в поиске.


    В остальном попробуйте на OpenWRT накрутить тоже самое, начиная со сквида, и посмотрим что у вас получится на задохликах с 64-256мб озу :)
    Да в общем то только один unbound легко может этим самые 256мб озу скушать, хотя это надо постаратся так кеш забить.

     

  • 1.5, Аноним (5), 21:13, 16/07/2026 [ответить]  
  • +/
    > Устранена критическая уязвимость

    и это в межсетевом экране :) безопасТность!

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру