Выпуск дистрибутива для создания межсетевых экранов OPNsense 24.131.01.2024 23:00

Сформирован релиз дистрибутива для создания межсетевых экранов OPNsense 24.1, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (443 МБ).

Базовая начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.

В дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.

Среди изменений:

  • Осуществлён переход на библиотеку OpenSSL 3.
  • Задействована новая ветка системы обнаружения атак Suricata 7.
  • По умолчанию предустановлен модуль ядра с VPN Wireguard, поставляемый во FreeBSD 13.2.
  • Для Wireguard реализована экспериментальная поддержка netmap.
  • В основной состав включены плагины os-firewall и os-wireguard. Прекращена поддержка плагина os-wireguard-go.
  • Добавлена возможность использования DHCP-сервера Kea c поддержкой обеспечения отказоустойчивости вместо ISC DHCP.
  • Обновлены версии libxml 2.11.6, php 8.2.15, py-duckdb 0.9.2 и sqlite 3.45.0.
  • Запрещён вызов командной оболочки и доступ к резервным копиям для пользователей без прав администратора.

  • Добавлена поддержка протокола OCSP (Online Certificate Status Protocol) для проверки отзыва сертификатов.

  • На MVC-фреймворк переведены обзорная страница и компоненты для настройки шлюза, NPTv6, ARP и NDP, что позволило реализовать в них поддержку управления через API.
  • Добавлена настройка «maxfilesize» для ротации лога после достижения определённого размера.

  • Интеграция с web proxy перенесена в плагин os-squid.



Источник: http://www.opennet.ru/opennews/art.shtml? num=60532

© OpenNet