The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск дистрибутива для создания межсетевых экранов OPNsense..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от opennews (?), 18-Июл-19, 09:26 
После 6 месяцев разработки представлен (https://forum.opnsense.org/index.php?topic=13497.0) выпуск дистрибутива для создания межсетевых экранов OPNsense 19.7 (https://opnsense.org), который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих.  Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются (https://github.com/opnsense/) под лицензией BSD. Сборки подготовлены (http://mirror.venturasystems.tech/opnsense/releases/mirror/) в форме LiveCD и системного образа для записи на Flash-накопители (290 Мб).


Базовая начинка дистрибутива основывается на коде HardenedBSD 11 (https://www.opennet.ru/opennews/art.shtml?num=49808), поддерживающем синхронизированный форк  FreeBSD, в который интегрированы дополнительные механизмы защиты и техники противодействия методам эксплуатации уязвимостей. Среди возможностей (http://opnsense.org/about/features) OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов  отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание  VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.

Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с  использованием web-фреймворка Bootstrap.


В новой версии:

-  Встроена возможность отправки логов на удалённый сервер, используя Syslog-ng;-  Добавлен отдельный список для просмотра автоматически сгенерированных правил пакетного фильтра;-  Добавлена статистика для всех правил пакетного фильтра;-  Усовершенствовано управление псевдонимами (https://www.netgate.com/docs/pfsense/firewall/aliases.html) в правилах межсетевого экрана (позволяют использовать переменные вместо хостов, номеров портов и подсетей). Добавлена возможность импорта и экспорта псевдонимов в формате JSON. Появилась опциональная возможность ведения статистики для псевдонимов;-  Переписан код обработки и переключения шлюзов;-  Реализована возможность синхронизации групп LDAP;-  Добавлена возможность отправки запросов подписи сертификатов;-  Добавлена поддержка прокидывания маршрутов через IPsec (VTI);-  Через XMLRPC реализована синхронизация псевдонимов, VHID и виджетов;-  Добавлена возможность аутентификации в Web proxy и IPsec через PAM;-  Добавлена поддержка подключения через цепочку прокси;-  Представлена возможность использования групп для настройки привилегий подключения через прокси;-  Подготовлены плагины для Netdata, WireGuard, Maltrail и Mail-Backup (PGP). На систему плагинов портированы серверы Dpinger и DHCP;-  Обновлены переводы на русский язык;-  Задействованы новые версии  Bootstrap 3.4, LibreSSL 2.9, Unbound 1.9, PHP 7.2, Python 3.7 и Squid 4.


URL: https://forum.opnsense.org/index.php?topic=13497.0
Новость: https://www.opennet.ru/opennews/art.shtml?num=51116

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  –1 +/
Сообщение от ананизмЪ (?), 18-Июл-19, 09:26 
чем оно лучше pfsense?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  –1 +/
Сообщение от Аноним (2), 18-Июл-19, 09:41 
в предыдущих новостях уже спрашивали-отвечали
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Kido Katsuragiemail (?), 18-Июл-19, 09:41 
Свежая freebsd, веб-морда удобнее, больше плагинов с установкой в один клик, а не из архивной темы на форуме.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +5 +/
Сообщение от Reader (?), 18-Июл-19, 10:06 
В одной из новостей про HardenedBSD некто-то в коментах писал, что сам по себе HardenedBSD не есть плюс поскольку многие патчи автора HardenedBSD были отвергнуты сообществом FreeBSD поскольку он не понимает как работает операционная система и качество кода было низким.
Соответственно, раз это дело основано на HardenedBSD то оно внушает опасения.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  –1 +/
Сообщение от Аноним (13), 18-Июл-19, 17:10 
> некто-то в коментах писал

Ну раз ОБС, то, конечно, пользоваться нельзя.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Аноним (16), 18-Июл-19, 18:33 
Почему нельзя, пользуйся.
Но здравый смысл подсказывает, что нескучный дистрибутив на базе другого нескучного дистрибутива на базе freebsd как минимум содержит в себе все ошибки из первой и второго плюс добавляет своих...
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  –1 +/
Сообщение от ОЛЕГ (?), 18-Июл-19, 19:04 
А можно пруфф? А то это настолько походе на фейк...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

20. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от анонн (ok), 18-Июл-19, 21:27 
> А можно пруфф? А то это настолько походе на фейк...

Я очень сильно удивлюсь, если пруф (нормальный, не высосанный из пальца) будет ))
Код я не тыкал, но патчи (а поначалу HardenedBSD был набором патчей) вполне нормальные https://github.com/HardenedBSD/hardenedBSD-patches/blob/mast...
и излишней критики по поводу качества я в списках рассылок не припоминаю:
https://lists.freebsd.org/pipermail/freebsd-arch/2014-July/0...

Проблема там скорее чисто политического характера - "кор тиму" не интересно, потому что грантов под это не видать.
Ну и проблемы "излишней сикурности" выплывают. См. причины, почему излишне "харденед" линукс тоже не особо массово любят, как и причины, почему когда-то патчи grsecurity не пошел в мейнлайн:
https://lkml.org/lkml/2009/1/3/126
> lots of totally insane and very annoying and invasive code.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +1 +/
Сообщение от Reader (?), 18-Июл-19, 22:32 
>но патчи (а поначалу HardenedBSD был набором патчей) вполне нормальные
> ...
>Проблема там скорее чисто политического характера
>...
>См. причины, почему излишне "харденед" линукс тоже не особо массово любят

Вы сами себе противоречите, вы утверждаете что патчи нормальные и игнорируются чисто по политическим соображениям и тут же приводите пример с "харденед" линукс который массово не особо любят не потому, что гранты не выделяют, а потому что многое отваливается/перестаёт работать. Может вам всё таки стоит признать, что пачти для hardednedbsd, как минимум в теории могут приводить к таким же последствия, к значительному количеству не работающего софта?

Да и на счёт grsecurity, как раз вчера в комментах на этом сайте нашёл инфу, что сам Линус который Торвальдс когда мерджил патчи grsecurity нифига не разобрался в них и некоторые куски кода просто не вмерджил (а зачем, он же Линус ему виднее) и что один из разрабов grsecurity писал об этом (была ссылка на его сообщение). Так вот я не исключаю, что и разработчики FreeBSD тоже не до конца разобрались в патчах которые потом стали HardenedBSD и не стали их мерджить.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +1 +/
Сообщение от Reader (?), 18-Июл-19, 22:42 
Кстати, вот эти ссылки которые вы привели выше, вы из привели потому что давно читаете эти рассылки?
Как мне тоже быть в теме? Читать одни рассылки хватить для этого? Если хватит то какие рассылки lkml, freebsd-arch?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +1 +/
Сообщение от Reader (?), 18-Июл-19, 21:55 
Оригинальное сообщение поищи, если не ошибаюсь, в комментах в теме про выход HardenedBSD 11. И сможешь спросить у автора коммента почему hardenedBSD ненадёжен.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Reader (?), 18-Июл-19, 22:22 
update: не могу найти тот коммент, вчера тут через поиск искал в темах про hardenedbsd, ghostbsd, freebsd, openbsd и в одной из тем было конкретно про качество кода автора hardenedbsd и что его пачти игнорировали из-за не понимания работы операционной системы и плохого качества.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

6. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Кир (?), 18-Июл-19, 10:48 
еще больше шва_бодки, в остальном отстающие
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +1 +/
Сообщение от Аноним (7), 18-Июл-19, 10:56 
т. е. даже первый абзац не способны прочесть про основные отличия этих двух продуктов ?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от ананизмЪ (?), 18-Июл-19, 11:19 
да прочитать в состоянии.
токма там туфта про полную свободу и независимость. более ничего.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +1 +/
Сообщение от Аноним (7), 18-Июл-19, 11:40 
а если с точки зрения критериев придуманных в мозгу тебе никто со стороны не скажет, ставь оба и тестируй, понравившийся в прод
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

26. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Алексей (??), 19-Июл-19, 12:22 
С тем же успехом можно спросить чем pfsense лучшего оного.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

27. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Алексей (??), 19-Июл-19, 12:22 
С тем же успехом можно спросить чем pfsense лучшего оного.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +1 +/
Сообщение от timur.davletshin (ok), 18-Июл-19, 09:41 
Зело годный софт, года 3 назад перешёл на него после заявлений о прекращении поддержки 32 разрядный архитектур в pfsense. Более бодрые обновления, веб-морда осмысленнее, плагинов дохлых в каталоге меньше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  –1 +/
Сообщение от ананизмЪ (?), 18-Июл-19, 11:19 
убедили. попробую.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от none_first (ok), 18-Июл-19, 16:39 
> Зело годный софт, года 3 назад перешёл на него после заявлений о
> прекращении поддержки 32 разрядный архитектур в pfsense. Более бодрые обновления, веб-морда
> осмысленнее, плагинов дохлых в каталоге меньше.

может ли перенести конфигурацию из pfSense и насколько корректно...?
использую CARP, планирую прокинуть транк с ВЛАНами вместо отдельных портов на OVS
в пфСенс не нра работа дхцп+днс - имена "выпадают" для хостов
причем таблица аренды отличается на CARP шлюзах

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  –1 +/
Сообщение от timur.davletshin (ok), 18-Июл-19, 19:02 
В первых выпусках после форка точно мог и делал это корректно, а сейчас не знаю за ненадобностью.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

28. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от none_first (ok), 19-Июл-19, 15:50 
> В первых выпусках после форка точно мог и делал это корректно, а
> сейчас не знаю за ненадобностью.

у меня не получалось, часть инфы не переносилась, а настраивать заново было влом, так и остался с пфСенс

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

29. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от timur.davletshinemail (ok), 19-Июл-19, 16:00 
Охотно верю. Но переконфигурирование роутера — это не самая сложная задача, особенно когда есть конфигурация, которую надо только повторить )))
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от none_first (ok), 19-Июл-19, 18:30 
если речь о клацание в вебморде - это слишком ;)
если о правке конфига - при их различии не представляю как
роутер + нат + дхцп (с исторически сегментированным пулом + пфСенс принципиально не делает "фиксацию" адреса из пула) + CARP - у меня косоглазие разовьется ;)
не настолько критичен переход, чтобы потратить свое время на повторение настройки
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от timur.davletshinemail (ok), 20-Июл-19, 17:25 
> если речь о клацание в вебморде - это слишком ;)
> если о правке конфига - при их различии не представляю как
> роутер + нат + дхцп (с исторически сегментированным пулом + пфСенс принципиально
> не делает "фиксацию" адреса из пула) + CARP - у меня
> косоглазие разовьется ;)
> не настолько критичен переход, чтобы потратить свое время на повторение настройки

Ну а мне не настолько критично покупать х64 роутер, чтобы продолжать пользоваться pfsense при моём 100-мегабитном и-нете на два компа и четыре мобильных устройства + телевизор. Каждому своё )))

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

11. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от IvAnZ (?), 18-Июл-19, 13:51 
Как-то провозился с ним дня 2, нужно было именно PPTP поднять для совместимости с другой стороной. В результате поставил CentOS и настроил все за час. Но возможно как-нибудь попробую еще раз, так как уже на IPSEC перешли
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  –1 +/
Сообщение от Аноним (-), 18-Июл-19, 18:16 
с PPTP там - даже читая man - работы минут на 40 *максимум*. Но это же man читать надо... НЕ каждый сможет.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Аноним (-), 18-Июл-19, 18:15 
Жаль они сам PF не пилят - отстаёт же от OpenBSD'шного, и работает медленнЕе, чем мог бы.

Интересно, что там в нём с ALTQ - тоже выпилили, гады?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +1 +/
Сообщение от Нанобот (ok), 18-Июл-19, 20:22 
> Задействованы новые версии Bootstrap 3.4

ага, новые...учитывая, что последняя версия 4.3.1

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от трурль (?), 20-Июл-19, 07:19 
Видимо, опечатка — последня версия третьей ветки 3.3.7.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Выпуск дистрибутива для создания межсетевых экранов OPNsense..."  +/
Сообщение от Аноним (21), 18-Июл-19, 21:41 
О! Рулез. А то тож огорчился, когда узнал что pfSense прекратил поддержку x86, а тот всё ровно в этом плане.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру