Pull to refresh

Релиз pfSense 2.6 / pfSense Plus 22.01

Timeweb Cloud corporate blog Information Security *Network technologies *

14 февраля вышла новая версия opensource файрвола pfSense - 2.6.0. Одновременно с этим вышла версия pfSense Plus 22.01 - варианта для фирменных железок компании-разработчика Netgate, поддерживающая оборудование на базе процессоров ARM и включающая в себя некоторые дополнительные пакеты и функции.

Подразумевается, что читатель имеет определённый опыт работы с pfSense и не нуждается в подробном разъяснении, что означает тот или иной термин.

Пройдёмся по новым функциям и наиболее заметным багфиксам. Детальный список изменений можно найти на странице релиза.

Читать далее
Total votes 8: ↑8 and ↓0 +8
Views 9.3K
Comments 5

История одного «инцидента» или оконная пакость

Information Security *
Скажу сразу: слово «инцидент» взято в кавычки, т.к. на самом деле никакого инцидента не было. Это была «стабильная» работа форточек...

И что же случилось?
Total votes 163: ↑107 and ↓56 +51
Views 10K
Comments 107

Вышел pfSense 2.0 форк FreeBSD для создания межсетевых экранов

*nix *
image

После 3-х лет разработки, доступен релиз мини-дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.0, в котором переработаны и улучшены практически все подсистемы. Дистрибутив основан на кодовой базе FreeBSD 8.1 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступны несколько образов для архитектур i386 и amd64, размером от 100 до 150 Мб, включая Live CD и образ для установки на USB Flash.
Читать дальше →
Total votes 33: ↑31 and ↓2 +29
Views 7.7K
Comments 24

VPN на 50+ филиалов на коленке

System administration *
image
Появилась потребность сделать VPN для аутсорсинговой компании — организовать связь с сетями компаний клиентов таким образом, чтобы админы заказчика и собственной сети видели каждый хост клиента за NATом и не было возможно обратное. Аппаратные решения в принципе не рассматривались ввиду стоимости, да и все проприетарные программные решения отсеялись по этой же причине. Остался только свободный софт. Благо свободных решений более чем достаточно

Поскольку начинал я знакомство со свободными системами с FreeBSD — выбор пал на нее. Сразу прошу хабралюдей не разводить холивар на тему BSD vs Linux – основной причиной выбора были более глубокие знания этой системы (до сих пор не могу осилить Linux настолько, чтобы быть уверенным в результатах своей работе с ним). Собственно, ВПН решено было организовать на основе OpenVPN — опять же, раньше приходилось иметь с ней дело, и недостатков я не обнаружил. И снова попрошу без холивара на тему PPTP – если есть приверженцы такого решения – лучше напишите свою статью.
Читать дальше →
Total votes 39: ↑31 and ↓8 +23
Views 49K
Comments 21

Автоматизируем создание VPN пользователей в PFSense

*nix *
image

Мне очень нравится PFSense 2.0. Особенно хороша у него стала функция OpenVPN сервера. Сам сервер настраивается в несколько кликов ( www.youtube.com/watch?v=odjviG-KDq8 ). После этого остается только создать пользователей и выслать им архив с настройками. Но когда передо мной встала задача перенести 70 пользователей из ClearOS в PFSense, я честно говоря приуныл. Перспектива рисовалась следующая. Зайти в «User Manager», щелкнуть кнопку добавления пользователя, ввести логин, ввести пароль, еще раз ввести пароль, вести фамилию и имя, отметить чекбокс «Click to create a user certificate», снова вести фамилию и имя, щелкнуть кнопку «Сохранить», перейти в «OpenVPN Server» вкладку «Client Export», сохранить архив с настройками, создать письмо, вставить туда email, написать логин, пароль, вложить архив с настройками, написать сопроводительный текст и отправить. И так 70 раз!!! Конечно если задаться целью и отключить мозг, все это можно сделать за день, а то и меньше. Но я от тупой работы либо засыпаю, либо прихожу в бешенство. Поэтому решено было сей процесс автоматизировать. И тут уныние, теперь уже переходящее в отчаяние, настигло меня во второй раз. Потому что PFSense на мои попытки переписать его потроха отвечал Read-only file system, а выполнить задуманное через config.xml мне не позволяло знание его структуры (и я подозреваю, что его средствами это невозможно). То есть на горизонте мрачно маячили либо нервное засыпание, либо покусание близ находящихся особей гуманоидного типа. Но выход был найден. Если выполнять работу самому не хочется, нужно написать скрипт, который будет нажимать на кнопки вместо тебя. Я уже вижу лес рук пользователей Windows которые нетерпеливо выкрикивают: «AutoIt, AutoIt!». Простите великодушно, я не описал полной картины. Я работаю из под Ubuntu. Ага. Лес рук сильно поредел. Осталась только пара, тройка. Ну давай, вот ты, мальчик в свитере с отчаянно пробивающейся бородой. Как, как? Правильно. Садись, пять. Xdotools, друзья. Вот тот самый мужик в синем трико с буквой S на груди, который спас мое отчаянное положение.
Читать дальше →
Total votes 6: ↑1 and ↓5 -4
Views 15K
Comments 6

How-To: Подключение Pfsense с модемом Huawei E392 к провайдеру Yota

*nix *

Введение


Данный пост был написан потому, что информации на просторах интернета мало и она разрознена, пришлось собирать по строкам из различных источников. Постараюсь в этом руководстве свести все воедино. Предполагается, что базовые знания о сборке pfSence у вас уже есть и вы можете зайти в консоль.
Версия системы:
[2.0.3-RELEASE][admin@pfsense.office]/root(1): uname -a
FreeBSD pfsense.office 8.1-RELEASE-p13 FreeBSD 8.1-RELEASE-p13 #0: Fri Apr 12 10:47:01 EDT 2013     root@snapshots-8_1-i386.builders.pfsense.org:/usr/obj.pfSense/usr/pfSensesrc/src/sys/pfSense_SMP.8  i386


Читать дальше →
Total votes 12: ↑9 and ↓3 +6
Views 30K
Comments 2

Вышла новая версия дистрибутива для создания межсетевого экрана pfSense 2.1

*nix *Network technologies *

15 сентября 2013 года, после двух лет разработки представлен выпуск дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.1. Дистрибутив основан на кодовой базе FreeBSD 8.3 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно множество образов для архитектуры i386 и amd64, размером от 80 до 180 Мб, включая LiveCD и образы для заливки прямо на Compact Flash'ки разного размера (512, 1ГБ, 2ГБ, 4ГБ).
Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 23K
Comments 9

Вышла новая версия дистрибутива для создания межсетевого экрана pfSense 2.1.1

*nix *Network technologies *

4 апреля 2014 года был представлен выпуск дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.1.1. Дистрибутив основан на кодовой базе FreeBSD 8.3 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно множество образов для архитектуры i386 и amd64, размером от 80 до 180 Мб, включая LiveCD и образы для заливки прямо на Compact Flash'ки разного размера (512, 1ГБ, 2ГБ, 4ГБ).
Читать дальше →
Total votes 23: ↑19 and ↓4 +15
Views 12K
Comments 24

Вышла новая версия opensource межсетевого экрана pfSense 2.1.2. Не прошло и недели

Information Security *


10 апреля 2014 года был представлен выпуск дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.1.2. Дистрибутив основан на кодовой базе FreeBSD 8.3 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступно множество образов для архитектуры i386 и amd64, размером от 80 до 180 Мб, включая LiveCD и образы для заливки прямо на Compact Flash'ки разного размера (512, 1ГБ, 2ГБ, 4ГБ).
Читать дальше →
Total votes 18: ↑15 and ↓3 +12
Views 10K
Comments 5

Написание пакета для PFSense

*nix *Network technologies *
Sandbox
В этой статье я постараюсь на простом примере показать создание собственного GUI пакета для pfSense. Предполагается, что читатель имеет опыт работы с pfSense, имеет некоторые знания в PHP.

image

Маршрутизатор pfSense (на базе FreeBSD) используется многими сисадминами благодаря, в первую очередь, управлению настройками системы через WEB интерфейс. С многими настройками вполне по силам справиться даже начинающему администратору, что позволяет расширить область применения этого маршрутизатора. При этом, опытные коллеги могут в полной мере воспользоваться доступом к консоли для изучения и контроля работы системы.

Помимо стандартных настроек маршрутизатора, большинство которых можно сделать через WEB интерфейс, иногда возникают специфические для предприятия задачи, требующие от сисадмина управления настройками через консоль. Далее я хочу показать, как облачить свои наработки в код, позволяющий управлять настройками системы из WEB интерфейса.
Подробности
Total votes 13: ↑12 and ↓1 +11
Views 7.5K
Comments 7

Написание пакета для PFSense: Элементы управления

*nix *
image

В предыдущей статье был рассмотрен процесс создания простого GUI пакета для pfSense. Пакет содержал одно единственное поле с элементом управления типа checkbox, описанное в разделе fields XML файла пакета.

Перед продолжением необходимо дать некоторые пояснения по структуре раздела fields. В этом разделе содержится описание полей формы текущей страницы GUI. Каждое поле описывается в узле field и содержит элементы:
  • fielddescr — название поля, выводится в левой части формы перед элементом управления;
  • fieldname — имя поля, под которым оно будет доступно в системе при обработке введенных данных;
  • description — комментарий, описывающий данное поле, выводится под элементом управления;
  • type — тип элемента управления, используемого в данном поле.

Подробности
Total votes 8: ↑7 and ↓1 +6
Views 4.3K
Comments 1

Вышла новая версия дистрибутива для создания межсетевого экрана pfSense 2.1.5

*nix *Network technologies *
image

27го августа 2014 был озвучен выпуск opensource дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.1.5
Читать дальше →
Total votes 13: ↑10 and ↓3 +7
Views 14K
Comments 4

Установка FAMP на pfsense

1С-Bitrix *
Sandbox
В стандартных пакетах pfsense нет ни MySQL, ни полноценного Apache. PHP присутствует в системе по умолчанию, являясь основным языком сценариев, но отсутствуют нужные модули mysql.so и присутствуют свои pfsense.so, ssh2.so и т.д.

В отличие от FreeBSD, убраны многие стартовые скрипты и файлы конфигурации (rc.conf, rc.local), вместо них используются свои механизмы, написанные на PHP.
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 7.3K
Comments 7

FAMP на pfsense с помощью PHP-FPM

PHP *MySQL *1С-Bitrix *
Статья является продолжением моей публикации, где рассматривалась возможность установки не нативных для pfsense пакетов на примере FAMP. Такая возможность не лишена недостатков:
1. после инсталляции неродных php-пакетов меняются нативные библиотеки и зависимости, что вызывает php варнинги (можно отключить) и наблюдаются глюки при попытке поставить родное приложение большого размера на этапе проверки контрольной суммы. Причем мелкие приложение pfsense устанавливались без проблем.
2. приходилось создавать недостающие стартовые BSD-скрипты, которые вызывали варнинги в шелле.
3. отсутствие интеграции с вебмордой pfsense.
Читать дальше →
Total votes 8: ↑2 and ↓6 -4
Views 4.4K
Comments 1

Настройка шлюза на базе Pfsense. Часть 1

System administration **nix *Network technologies *
Sandbox
Что всегда заметит каждый пользователь? Правильно, отсутствие интернета. Но как? «Вконтакте» не грузится — значит, интернета нет. Но ведь бывает, что директор или бравые богатыри из отдела ИБ хотят что-то запретить, что-то собрать, где-то проконтролировать. И тут администратор начинает танцевать вокруг шлюза в интернет. Если в компании много денег, то танцы могут быть длительными и с галантными кавалерами (мар Checkpoint, мистер PaloAlto, господин SonicWall). А вот что делать, если денег только на железо, функционала хотят много, а делать надо быстро? Бежать. На помощь приходит Mr Proper Pfsense, активно поддерживаемый сообществом бесплатный, гибкий и несложный в настройке межсетевой экран на базе FreeBSD.
Подробности
Total votes 11: ↑9 and ↓2 +7
Views 241K
Comments 35

Админу на заметку: OpenVPN + pfSense + Dreamkas = автоматизация в розничной торговле

System administration *

В статье будет рассмотрен пример настроек касс вендора Dreamkas и маршрутизатора pfSense для работы с сервером 1С через OpenVPN быстро и зашифровано (с использованием TLS/SSL), по любым публичным каналам.

Задача: есть много касс во многих магазинах, есть сервер 1С в офисе. Нужно настроить взаимодействие. Вдаваться в настройку 1С не буду, акцент сделан на OpenVPN в маршрутизаторе pfSense и построении сети. Подробное описание касс в моей статье отсутствует.
Читать дальше →
Total votes 9: ↑7 and ↓2 +5
Views 51K
Comments 6

Преодоление блокировки в ТТК (Транстелеком) при помощи pf

Network technologies *
Sandbox
После прочтения статьи уважаемого ValdikSS решил изучить DPI своего провайдера и, при благоприятном развитии событий, найти пути его обхода. Ниже — результаты моих изысканий.

Итак, провайдер — ТТК Ульяновск (бывш. DARS Telecom), PPPoE-подключение с выделением внешнего IP на время сессии. Блокировка осуществляется заворачиванием заблокированных подсетей/хостов на свой DPI. DNS не подменяется.
Читать дальше →
Total votes 33: ↑32 and ↓1 +31
Views 28K
Comments 18

7 лучших файрволов c открытым исходным кодом для защиты вашей сети

Поиск VPS corporate blog Information Security *Antivirus protection *IT Infrastructure *Network technologies *
Translation
Статистика утечки данных показывает, что каждый день миллионы данных оказываются украденными или потерянными.



Насколько безопасна ваша сеть? Используете ли вы файрвол для защиты вашей сетевой инфраструктуры?

Ранее я писал об управляемых облачных файрволах и получил предложение написать о бесплатных файрволах или файрволах с открытым исходным кодом.

Вот, пожалуйста!
Читать дальше →
Total votes 17: ↑13 and ↓4 +9
Views 69K
Comments 15

Бесплатный прокси-сервер для предприятия с доменной аутентификацией

Configuring Linux *Information Security *System administration *Network technologies *
Sandbox


pfSense+Squid с фильтрацией https + Технология единого входа (SSO) с фильтрацией по группам Active Directory

Краткая предыстория


На предприятии возникла необходимость во внедрении прокси-сервера с возможностью фильтрации доступа к сайтам(в том числе https) по группам из AD, чтобы пользователи не вводили никаких дополнительных паролей, а администрировать можно было с веб интерфейса. Неплохая заявочка, не правда ли?

Правильным вариантом ответа было бы купить такие решения как Kerio Control или UserGate, но как всегда денег нет, а потребность есть.

Тут то к нам и приходит на выручку старый добрый Squid, но опять же — где взять веб интерфейс? SAMS2? Морально устарел. Тут то и приходит на выручку pfSense.

Описание


В данной статье будет описан способ настройки прокси-сервера Squid.
Для авторизации пользователей будет использоваться Kerberos.
Для фильтрации по доменным группам будет использоваться SquidGuard.

Для мониторинга будет использован Lightsquid, sqstat и внутренние системы мониторинга pfSense.
Также будет решена частая проблема, связанная с внедрением технологии единого входа (SSO), а именно приложения, пытающиеся ходить в интернет под учеткой компа\своей системной учеткой.
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 41K
Comments 10
1