Доступен дистрибутив для создания межсетевых экранов OPNsense 17.7

Представлен выпуск дистрибутива для создания межсетевых экранов OPNsense 17.7, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развертывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (425 Мб).

Среди возможностей OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчетов и графиков. Кроме того, в дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap.

В новой версии внесено около 300 изменений, связанных с усовершенствованием и оптимизацией различных подсистем. Основные улучшения:

• Задействованы наработки проекта HardenedBSD по обеспечению защиты от переполнения стека в приложениях;
• Представлен новый драйвер для сетевых адаптеров на чипах Realtek,
• В состав включен плагин с реализацией протоколов маршрутизации OSPFv2, OSPFv3, RIP v1/v2, RIPng и BGP-4 от проекта Quagga;
• По умолчанию задействован DNS-резолвер на базе кеширующего DNS сервера Unbound;
• Внесено около 300 изменений, связанных с усовершенствованием и оптимизацией различных подсистем;
• Добавлена возможность размещения раздела подкачки в файле на SSD-накопителе;
• В сервере LDAP обеспечена поддержка режима соединения StartTLS. Запрещено анонимное соединение к Active Directory, запросы с пустым паролем теперь блокируются;
• Переработана система восстановления из резервной копии;
• Переработан код для настройки хоста в качестве сетевого шлюза и генерации правил пакетного фильтра;
• Поддержка динамического DNS и RFC 2136 (DNS UPDATE) вынесена из основной системы в отдельный плагин.