The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск дистрибутива для создания межсетевых экранов OPNsense 19.7

18.07.2019 09:13

После 6 месяцев разработки представлен выпуск дистрибутива для создания межсетевых экранов OPNsense 19.7, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (290 Мб).

Базовая начинка дистрибутива основывается на коде HardenedBSD 11, поддерживающем синхронизированный форк FreeBSD, в который интегрированы дополнительные механизмы защиты и техники противодействия методам эксплуатации уязвимостей. Среди возможностей OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.

Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.

В новой версии:

  • Встроена возможность отправки логов на удалённый сервер, используя Syslog-ng;
  • Добавлен отдельный список для просмотра автоматически сгенерированных правил пакетного фильтра;
  • Добавлена статистика для всех правил пакетного фильтра;
  • Усовершенствовано управление псевдонимами в правилах межсетевого экрана (позволяют использовать переменные вместо хостов, номеров портов и подсетей). Добавлена возможность импорта и экспорта псевдонимов в формате JSON. Появилась опциональная возможность ведения статистики для псевдонимов;
  • Переписан код обработки и переключения шлюзов;
  • Реализована возможность синхронизации групп LDAP;
  • Добавлена возможность отправки запросов подписи сертификатов;
  • Добавлена поддержка прокидывания маршрутов через IPsec (VTI);
  • Через XMLRPC реализована синхронизация псевдонимов, VHID и виджетов;
  • Добавлена возможность аутентификации в Web proxy и IPsec через PAM;
  • Добавлена поддержка подключения через цепочку прокси;
  • Представлена возможность использования групп для настройки привилегий подключения через прокси;
  • Подготовлены плагины для Netdata, WireGuard, Maltrail и Mail-Backup (PGP). На систему плагинов портированы серверы Dpinger и DHCP;
  • Обновлены переводы на русский язык;
  • Задействованы новые версии Bootstrap 3.4, LibreSSL 2.9, Unbound 1.9, PHP 7.2, Python 3.7 и Squid 4.


  1. Главная ссылка к новости (https://forum.opnsense.org/ind...)
  2. OpenNews: Выпуск дистрибутива для создания межсетевых экранов OPNsense 19.1
  3. OpenNews: В рамках проекта OPNsense основан форк дистрибутива для создания межсетевых экранов pfSense
  4. OpenNews: В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux
  5. OpenNews: Релиз дистрибутива для создания межсетевых экранов IPFire 2.23
  6. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.4.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/51116-opnsense
Ключевые слова: opnsense, firewall
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ананизмЪ (?), 09:26, 18/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    чем оно лучше pfsense?
     
     
  • 2.2, Аноним (2), 09:41, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в предыдущих новостях уже спрашивали-отвечали
     
  • 2.4, Kido Katsuragi (?), 09:41, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Свежая freebsd, веб-морда удобнее, больше плагинов с установкой в один клик, а не из архивной темы на форуме.
     
     
  • 3.5, Reader (?), 10:06, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    В одной из новостей про HardenedBSD некто-то в коментах писал, что сам по себе HardenedBSD не есть плюс поскольку многие патчи автора HardenedBSD были отвергнуты сообществом FreeBSD поскольку он не понимает как работает операционная система и качество кода было низким.
    Соответственно, раз это дело основано на HardenedBSD то оно внушает опасения.
     
     
  • 4.13, Аноним (13), 17:10, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > некто-то в коментах писал

    Ну раз ОБС, то, конечно, пользоваться нельзя.

     
     
  • 5.16, Аноним (16), 18:33, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Почему нельзя, пользуйся.
    Но здравый смысл подсказывает, что нескучный дистрибутив на базе другого нескучного дистрибутива на базе freebsd как минимум содержит в себе все ошибки из первой и второго плюс добавляет своих...
     
  • 4.18, ОЛЕГ (?), 19:04, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А можно пруфф? А то это настолько походе на фейк...
     
     
  • 5.20, анонн (ok), 21:27, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А можно пруфф? А то это настолько походе на фейк...

    Я очень сильно удивлюсь, если пруф (нормальный, не высосанный из пальца) будет ))
    Код я не тыкал, но патчи (а поначалу HardenedBSD был набором патчей) вполне нормальные https://github.com/HardenedBSD/hardenedBSD-patches/blob/master/upstream/aslr/1
    и излишней критики по поводу качества я в списках рассылок не припоминаю:
    https://lists.freebsd.org/pipermail/freebsd-arch/2014-July/015548.html

    Проблема там скорее чисто политического характера - "кор тиму" не интересно, потому что грантов под это не видать.
    Ну и проблемы "излишней сикурности" выплывают. См. причины, почему излишне "харденед" линукс тоже не особо массово любят, как и причины, почему когда-то патчи grsecurity не пошел в мейнлайн:
    https://lkml.org/lkml/2009/1/3/126
    > lots of totally insane and very annoying and invasive code.

     
     
  • 6.24, Reader (?), 22:32, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >но патчи (а поначалу HardenedBSD был набором патчей) вполне нормальные
    > ...
    >Проблема там скорее чисто политического характера
    >...
    >См. причины, почему излишне "харденед" линукс тоже не особо массово любят

    Вы сами себе противоречите, вы утверждаете что патчи нормальные и игнорируются чисто по политическим соображениям и тут же приводите пример с "харденед" линукс который массово не особо любят не потому, что гранты не выделяют, а потому что многое отваливается/перестаёт работать. Может вам всё таки стоит признать, что пачти для hardednedbsd, как минимум в теории могут приводить к таким же последствия, к значительному количеству не работающего софта?

    Да и на счёт grsecurity, как раз вчера в комментах на этом сайте нашёл инфу, что сам Линус который Торвальдс когда мерджил патчи grsecurity нифига не разобрался в них и некоторые куски кода просто не вмерджил (а зачем, он же Линус ему виднее) и что один из разрабов grsecurity писал об этом (была ссылка на его сообщение). Так вот я не исключаю, что и разработчики FreeBSD тоже не до конца разобрались в патчах которые потом стали HardenedBSD и не стали их мерджить.

     
  • 6.25, Reader (?), 22:42, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати, вот эти ссылки которые вы привели выше, вы из привели потому что давно читаете эти рассылки?
    Как мне тоже быть в теме? Читать одни рассылки хватить для этого? Если хватит то какие рассылки lkml, freebsd-arch?
     
  • 5.22, Reader (?), 21:55, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Оригинальное сообщение поищи, если не ошибаюсь, в комментах в теме про выход HardenedBSD 11. И сможешь спросить у автора коммента почему hardenedBSD ненадёжен.
     
     
  • 6.23, Reader (?), 22:22, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    update: не могу найти тот коммент, вчера тут через поиск искал в темах про hardenedbsd, ghostbsd, freebsd, openbsd и в одной из тем было конкретно про качество кода автора hardenedbsd и что его пачти игнорировали из-за не понимания работы операционной системы и плохого качества.
     
  • 2.6, Кир (?), 10:48, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    еще больше шва_бодки, в остальном отстающие
     
  • 2.7, Аноним (7), 10:56, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    т. е. даже первый абзац не способны прочесть про основные отличия этих двух продуктов ?
     
     
  • 3.9, ананизмЪ (?), 11:19, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    да прочитать в состоянии.
    токма там туфта про полную свободу и независимость. более ничего.
     
     
  • 4.10, Аноним (7), 11:40, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а если с точки зрения критериев придуманных в мозгу тебе никто со стороны не скажет, ставь оба и тестируй, понравившийся в прод
     
  • 2.26, Алексей (??), 12:22, 19/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    С тем же успехом можно спросить чем pfsense лучшего оного.
     
  • 2.27, Алексей (??), 12:22, 19/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    С тем же успехом можно спросить чем pfsense лучшего оного.
     

  • 1.3, timur.davletshin (ok), 09:41, 18/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зело годный софт, года 3 назад перешёл на него после заявлений о прекращении поддержки 32 разрядный архитектур в pfsense. Более бодрые обновления, веб-морда осмысленнее, плагинов дохлых в каталоге меньше.
     
     
  • 2.8, ананизмЪ (?), 11:19, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    убедили. попробую.
     
  • 2.12, none_first (ok), 16:39, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Зело годный софт, года 3 назад перешёл на него после заявлений о
    > прекращении поддержки 32 разрядный архитектур в pfsense. Более бодрые обновления, веб-морда
    > осмысленнее, плагинов дохлых в каталоге меньше.

    может ли перенести конфигурацию из pfSense и насколько корректно...?
    использую CARP, планирую прокинуть транк с ВЛАНами вместо отдельных портов на OVS
    в пфСенс не нра работа дхцп+днс - имена "выпадают" для хостов
    причем таблица аренды отличается на CARP шлюзах

     
     
  • 3.17, timur.davletshin (ok), 19:02, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В первых выпусках после форка точно мог и делал это корректно, а сейчас не знаю за ненадобностью.
     
     
  • 4.28, none_first (ok), 15:50, 19/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В первых выпусках после форка точно мог и делал это корректно, а
    > сейчас не знаю за ненадобностью.

    у меня не получалось, часть инфы не переносилась, а настраивать заново было влом, так и остался с пфСенс

     
     
  • 5.29, timur.davletshin (ok), 16:00, 19/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Охотно верю. Но переконфигурирование роутера — это не самая сложная задача, особенно когда есть конфигурация, которую надо только повторить )))
     
     
  • 6.30, none_first (ok), 18:30, 19/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    если речь о клацание в вебморде - это слишком ;)
    если о правке конфига - при их различии не представляю как
    роутер + нат + дхцп (с исторически сегментированным пулом + пфСенс принципиально не делает "фиксацию" адреса из пула) + CARP - у меня косоглазие разовьется ;)
    не настолько критичен переход, чтобы потратить свое время на повторение настройки
     
     
  • 7.32, timur.davletshin (ok), 17:25, 20/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > если речь о клацание в вебморде - это слишком ;)
    > если о правке конфига - при их различии не представляю как
    > роутер + нат + дхцп (с исторически сегментированным пулом + пфСенс принципиально
    > не делает "фиксацию" адреса из пула) + CARP - у меня
    > косоглазие разовьется ;)
    > не настолько критичен переход, чтобы потратить свое время на повторение настройки

    Ну а мне не настолько критично покупать х64 роутер, чтобы продолжать пользоваться pfsense при моём 100-мегабитном и-нете на два компа и четыре мобильных устройства + телевизор. Каждому своё )))

     

  • 1.11, IvAnZ (?), 13:51, 18/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как-то провозился с ним дня 2, нужно было именно PPTP поднять для совместимости с другой стороной. В результате поставил CentOS и настроил все за час. Но возможно как-нибудь попробую еще раз, так как уже на IPSEC перешли
     
     
  • 2.15, Аноним (-), 18:16, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    с PPTP там - даже читая man - работы минут на 40 *максимум*. Но это же man читать надо... НЕ каждый сможет.
     

  • 1.14, Аноним (-), 18:15, 18/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жаль они сам PF не пилят - отстаёт же от OpenBSD'шного, и работает медленнЕе, чем мог бы.

    Интересно, что там в нём с ALTQ - тоже выпилили, гады?

     
  • 1.19, Нанобот (ok), 20:22, 18/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Задействованы новые версии Bootstrap 3.4

    ага, новые...учитывая, что последняя версия 4.3.1

     
     
  • 2.31, трурль (?), 07:19, 20/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо, опечатка — последня версия третьей ветки 3.3.7.
     

  • 1.21, Аноним (21), 21:41, 18/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О! Рулез. А то тож огорчился, когда узнал что pfSense прекратил поддержку x86, а тот всё ровно в этом плане.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру