Выпуск дистрибутива для создания межсетевых экранов OPNsense 19.1

После 6 месяцев разработки представлен выпуск дистрибутива для создания межсетевых экранов OPNsense 19.1, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (265 Мб).

Среди возможностей OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков. Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.

В новой версии:

  • Осуществлён переход на использование в качестве основы HardenedBSD 11.2, форка FreeBSD 11.2, в который интегрированы дополнительные механизмы защиты и техники противодействия методам эксплуатации уязвимостей;
  • Возможность использования двухфакторной аутентификации на базе комбинации аутентификации через внешний LDAP-сервер и локальную систему одноразовых паролей TOTP (Time-based One-time Password);
  • API для управления псевдонимами в правилах межсетевого экрана (позволяет использовать переменные вместо хостов, номеров портов и подсетей);
  • API для экспорта базы клиентов OpenVPN;
  • Поддержка режима ограничения полосы пропускания на базе алгоритма PIE (RFC-8033);
  • Возможность ведения лога срабатывания правил NAT;
  • В web-прокси добавлена поддержка WPAD / PAC и подключения через родительский прокси;
  • Возможность экспорта сертификатов P12 с установленными пользователями паролями;
  • Использование Dpinger для мониторинга доступности шлюза;
  • Плагин для правил телеметрии ET Pro;
  • Расширена поддержка IPv6 DUID;
  • Поддержка Dnsmasq DNSSEC;
  • Обновление версий программ: LibreSSL 2.7, Unbound 1.8, Suricata 4.1, Phalcon 3.4, Perl 5.28;
  • Обновлены файлы с переводом интерфейса на русский язык;
  • В применяемой по умолчанию теме оформления интерфейса предложено сворачиваемое боковое меню;
  • Обновлены плагины для экспорта резервных копий, Bind, Nginx, Ntopng, VnStat и Dnscrypt-proxy.

© OpenNet