Состоялся релиз дистрибутива для создания межсетевых экранов OPNsense 16.7, в рамках которого развивается форк проекта pfSense. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Готовые сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (219 Мб).

Особенности нового выпуска:

  • Обновление системных компонентов до FreeBSD 10.3 с дополнительной интеграцией патчей для рандомизации адресного пространства (ASLR), разработанных проектом HardenedBSD;
  • Включение в состав системы обнаружения и предотвращения сетевых вторжений Suricata 3.1.1 с задействованием движка регулярных выражений Intel Hyperscan;
  • Система отчётов и экспорта информации о трафике на основе NetFlow;
  • Режим ограничения трафика на базе алгоритмов CoDel / FQ-CoDel;
  • Поддержка двухфакторной аутентификации c применением одноразовых паролей, соответствующих RFC 6238 (TOTP - Time-based One-time Password);
  • В прокси-сервере добавлена поддержка HTTPS и ICAP;
  • Возможность загрузки и установки на системы с UEFI;
  • Значительное обновление перевода элементов интерфейса на русский язык.

Напомним, что целью создания OPNsense является желание сформировать открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. При этом, в отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Из других отличий отмечается новый полностью открытый сборочный инструментарий, более жесткие критерии качества кода, возможность установки в форме пакетов поверх обычного FreeBSD, переписанный Captive Portal, перевод GUI на JavaScript-библиотеку Bootstrap и MVC-фреймворк Phalcon, повышенные требования к безопасности (GUI не должен вызывать операции, требующие root).

Среди возможностей OPNsense можно выделить средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков. Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.



Источник: http://www.opennet.ru/opennews/art.shtml?num=44869