Выпуск дистрибутива для создания межсетевых экранов OPNsense 18.129.01.2018 22:15

Подготовлен выпуск дистрибутива для создания межсетевых экранов OPNsense 18.1, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (211 Мб).

Среди возможностей OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков. Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.

В новой версии:

  • Системные компоненты обновлены до FreeBSD 11.1 с интеграцией дополнительных патчей от проекта HardenedBSD для повышения защищённости;
  • Web-интерфейс переведён на использование PHP 7.1 и jQuery 3. Улучшена реализация вкладок и оптимизировано размещение элементов на странице. Операция выбора типа интерфейса перемещена в меню. Добавлен быстрый поиск правил межсетевого экрана, DHCP и состояния беспроводной сети. На использование MVC-фреймворка переведены интерфейсы настройки маршрутизации и просмотра текущих логов межсетевого экрана, которые теперь также доступны через API;
  • Добавлена возможность подключения плагинов для управления правилами трансляции адресов (NAT);
  • Обеспечена возможность применения NAT на стадии до IPSec;
  • Драйвер для сетевых адаптеров Realtek обновлён до версии 1.94;
  • В OpenVPN и IPsec добавлена возможность ограничения локальных групп;
  • Добавлена возможность указания нескольких серверов OpenVPN (несколько опций »--remote») для соединения с первым доступным;
  • Улучшена работа системы кэширования в web-прокси;
  • Добавлена поддержка новых наборов правил (ET Pro, Snort VRT) для генерации предупреждения об обнаружении вторжений;
  • Переработан плагин на базе HAProxy;
  • Добавлены новые плагины для использования антивируса, системы блокирования спама, почтового сервера и прокси (zerotier, mdns-repeater, collectd, telegraf, clamav, c-icap, tor, siproxd, web-proxy-sso, web-proxy-useracl, postfix, rspamd, redis, iperf, arp-scan, zabbix-proxy, frr, node_exporter);
  • Добавлен API для преобразования обратных записей в DNS для отчётов Insight и Live Log.

© OpenNet