pfSense

[Timba]

pfSense

Этот дистрибутив базирован на проекте m0n0wall , а тот в свою очередь на FreeBSD , распространяется по лицензии BSD и является бесплатной и очень функциональной заменой дорогим коммерческим решениям. Текущая стабильная версия 1.2.2, но доступен и 1.2.3 RC1.

Несмотря на низкие минимальные требования к аппаратному обеспечению (CPU100MHz Pentium/128MB RAM/1GB HDD), имеет очень богатое функциональное наполнение: LAN/ WAN Router, NAT, Firewall, VPN, DHCP, PPPoE, DynDNS, CARP, пассивное определение операционных систем с которых идет трафик, что позволяет более гибко создавать правила доступа и еще многое другое, да и базовую функциональность можно еще больше расширить, установив дополнительные пакеты, такие как Snort , Squid, HAVP antivirus, TinyDNS-server, IMSpector, Nmap, Spamd и пр. Может быть так же настроен в режиме прозрачного моста при использовании во внутренних сетях. Управляется как через Web-интерфейс, так и через SSH при необходимости.

Из недостатков следует отметить отсутствие нормальной документации по продукту. Нет подробного Administrator`s Guide в формате PDF как у SmoothWall Express, ни HandBook, как у FreeBSD. Вся документация собрана из каких-то отдельных HTML-страничек, FLASH-роликов, обрывочных PDF-руководств, How To, ссылок на документацию по m0n0wall и т.п. Впрочем, на сайте присутствует информация, что скоро будет готова полноценная документация. Пишут что в 2009 году. Поживем — увидим. :music_band:

Подходит для использования как на бездисковых станциях (загрузка с CD-ROM и сохранение конфигурации на Flash-накопителях или FDD), так и на полноценных ПК с установкой на жесткий диск. Мы рассмотрим последний вариант.

1. Загрузка и установка.

Скачиваем образ Live-CD в формате ISO, с одного из зеркал , записываем его на CD болванку и получаем загрузочный диск. Выставляем в BIOS загрузку с CD-ROM, грузимся. Процесс загрузки не имеет графического интерфейса, имеется только интерфейс командной строки, впрочем там все достаточно понятно. Для базовой конфигурации достаточно указать WAN и LAN интерфейсы, а все остальное настроить уже потом. По умолчанию IP-адрес будет 192.168.1.1.

После загрузки имеем меню состоящее из 16-ти пунктов:

Нас больше всего интересует последний пункт: установка на жесткий диск. Выбираем 99, нажимаем Enter, запускается установка. Здесь уже имеется текстовый интерфейс. Подробно на установке останавливаться не буду, все достаточно ясно и понятно, тем более что здесь весь процесс представлен в картинках.

Установили, перезагружаемся, не забыв переключиться на загрузку с HDD. :)

2. Настройка

Опять попадаем в такое же меню. Меняем внутренний IP-адрес на необходимый, и далее всю дальнейшую настройку можно производить через Web-интерфейс. Набираем в браузере внутренний адрес свежеустановленного pfSense, по умолчанию login: admin, password: pfsense (который желательно сразу поменять после базовой настройки) и нас сразу встречает Setup Wizard, который проведет по всем основным шагам базовой настройки. Здесь задаются: имя хоста, домена, адреса DNS серверов, временная зона, адрес NTP сервера и конфигурация WAN интерфейса. На закуску предлагают поменять пароль. Что мы и делаем.

Закончили с Setup Wizard и видим состояние системы и собственно Web-интерфейс, через который все и настраивается дальше. Состояние системы показывает загрузку процессора, использование памяти, SWAP и HDD. Интерфейс сделан достаточно просто вверху выпадающее меню состоящее из семи разделов, в каждом разделе соответствующие разделу подпункты (правда не всегда логично расположенные). Никаких «горячих» кнопок и особых зон. Разберем разделы более подробно:

System:

Здесь представлены следующие подпункты:

* Advanced — здесь можно включить SSH сервер, задать порт доступа и способ аутентификации (по паролю или по ключу), задать сертификаты и ключи для доступа по SSL к Web-конфигуратору, здесь же настройки для трафик-шейпера и некоторые другие.

* Firmware — название говорит само за себя. :-)

* General setup — весьма нужный пункт, здесь указываются адреса DNS-серверов, имя домена, меняются протоколы и порты для доступа к управлению через Web-конфигуратор, временная зона. Здесь же можно сменить и тему интерфейса и пароль.

* Packages — установка и удаление дополнительных пакетов.

* Setup wizard — это именно тот визард, через который мы делали первичную настройку.

* Static routes — тоже все понятно, здесь задаются статические маршруты.

Interfaces:

Подпункты:

* (assign) — здесь создаются (удаляются) VLAN`ы и указываются LAN и WAN интерфейсы.

* WAN — есть 4-ре варианта настройки (Static, DHCP, PPPoE, PPTP) в зависимости от того, что вам предоставляет провайдер, или вышестоящий администратор, если это внутренняя сеть.

* LAN - здесь все должно быть понятно, останавливаться не буду.

Firewall:

Подпункты:

* Aliases — пользуясь этим подпунктом, можно упростить создание правил для файрволла.

* NAT — здесь настраивается форвардинг портов и прочие манипуляции с NAT.

* Rules — собственно, то место, где создаются, модифицируются правила для трафика.

* Shedules — создание расписаний.

* Traffic Shaper — воспользовавшись этим пунктом, можно настроить трафик-шейпер для того или иного интерфейса, указав нужную скорость и приоритеты для разных видов трафика (VoIP, P2P, сетевых игр и прочего).

* Virtual IPs — нужны для использования ARP proxy и настройки CARP.

Services:

Подпункты:

* Captive portal — при необходимости можно задействовать эти продвинутые функции для более гибкого управления доступом и пользователями.

* DNS forwarder — управление DNS — релеем.

* DHCP relay — то же самое, но для DHCP — релея, не работает, если используется DHCP server.

* DHCP server — все настройки для него (пулы адресов, раздача DNS, NTP, Gateway, время аренды, IP для failover и пр.

* Dynamic DNS — здесь настраиваются параметры для использования сервисов Dynamic DNS, их поддерживается 9 штук.

* Load Balancer — балансировка нагрузки при нескольких WAN интерфейсах и включение сервера в пул серверов.

* OLSR — включение и настройка OLSRD, кто не знает что это, и нужно ли оно вообще, смотрит здесь :)

* PPPoE Server — pfSense может работать как PPPoE-сервер, здесь находится управление его конфигурацией и пользователями.

* RIP — включение(отключение) RIP-сервера.

* SNMP — управление демоном SNMP.

* UPnP — включение, настройка, отключение использования этой технологии.

* OpenNTPD — ясно из названия, управление встроенным NTP сервером.

* Wake on LAN — надеюсь понятно и так. :)

VPN:

Подпункты:

* IPsec — прекрасно служит для создания защищенных каналов между удаленными подразделениями компании, поддерживается несколько алгоритмов шифрования (DES, 3DES, Blowfish), здесь смотрите сами, какой использовать для баланса «скорость/защищенность», к сожалению, при включенном NAT поддерживаются не все функции этого протокола, работы ведутся, но может быть эти фукции вам и не нужны.

* OpenVPN — Если предыдущий вариант создания VPN-соединения вас не устраивает, то можно воспользоваться этим, он поддерживается лучше, но требует более широкой полосы пропускания из-за использования SSL.

* PPTP — pfSense можно настроить как PPTP- сервер для входящих VPN соединений по этому протоколу. Очень удобен, если у вас много пользователей, которым необходим доступ в сеть извне с различных адресов и устройств. Типы аутентификации можно задать как встроенную, так и на указанном RADIUS-сервере.

Status:

Подпункты:

* CARP (failover) — просмотр статуса failover-конфигурации с использованием протокола CARP при создании отказоустойчивой конфигурации из 2-х и более серверов.

* DHCP leases — состояние DHCP.

* Filter Reload Status — перезапуск фильтров трафика. (непонятно почему этот пункт здесь)

* Interfaces — статистика о состоянии сетевых интерфейсов.

* IPsec — состояние IPsec.

* Load Balancer — состояние балансировки.

* Package logs — информация от установленных дополнительных пакетов.

* Queues — информация от включенного трафик-шейпера.

* RRD Graphs — масса графиков в режиме реального времени о системе, трафике, пакетах и пр.

* Services — состояние служб. Здесь так же можно остановить/запустить необходимые.

* System — собственно то, что мы увидели после первичной настройки.

* System logs — собственно логи (системы, файрволла, DHCP-сервера, VPN-сервера, и пр.) Здесь же и настраиваются параметры ведения логов и способ их хранения (локально или на удаленном syslog-сервере)

* Traffic graph — график реального времени по сетевым интерфейсам.

* UPnP — информация о UPnP.

Diagnostics:

Подпункты:

* ARP Tables — они и в Африке ARP Tables. Добавить нечего.

* Backup/Restore — бэкап/восстановление конфигурации, а так же история изменений.

* Command — введение команд для запуска через шелл и некоторые другие.

* Edit File — редактирование файлов настройки при необходимости.

* Factory defaults — собственно сброс всех настроек на настройки по умолчанию. Может * пригодиться, если было внесено так много изменений, что уже не разобраться. :) Тогда действительно проще сбросить все и настроить заново.

* Halt system — выключение системы.

* Ping — собственно ping он и есть ping, позволяет какой-либо хост проверить на доступность.

* Reboot system — перезагрузка системы.

* Routes — показывает какие маршруты задействованы, по каким интерфейсам, какой размер MTU и т. п.

* States — состояние (с каких узлов на какие, по каким портам и протоколам проходят пакеты и состояние портов)

* Traceroute — тот же traceroute для определения путей хождения пакетов.

* Packet Capture - пакетный сниффер, для перехвата пакетов по интерфейсам, хостам, портам для последующего анализа.

Непонятно, почему сюда были включены пункты Backup/Restore, Factory defaults, Halt system и Reboot system. По-моему им самое место в меню System, но видно разработчикам так удобнее. :)

Я уже говорил про темы, их можно менять. На скриншотах представлена тема nervecenter, она ставится по умолчанию, мной была использована для наглядности как организовано меню. Для работы более удобна тема pfsense, все меню расположено в левом табе и выглядит она так:

В заключение хочется добавить, что это был обзор только встроенных возможностей данного продукта. Существует множество не описанных расширений этого функционала, ведутся работы по интеграции с VoIP-сервисами посредством FreeSWITCH и т.д. В общем, продукт очень гибок и функционален, уместив такую мощь в таком компактном виде и с такими низкими требованиями к ресурсам... и выпустив под лицензией BSD... разработчики очень постарались, спасибо им.

Изменено 19 сентября, 2011 пользователем Timba

[Andrey_al]

Из недостатков следует отметить отсутствие нормальной документации по продукту. Нет подробного Administrator`s Guide в формате PDF как у SmoothWall Express, ни HandBook, как у FreeBSD. Вся документация собрана из каких-то отдельных HTML-страничек, FLASH-роликов, обрывочных PDF-руководств, How To, ссылок на документацию по m0n0wall и т.п. Впрочем, на сайте присутствует информация, что скоро будет готова полноценная документация. Пишут что в 2009 году. Поживем — увидим. smile.gif

пожили - увидели, :) выпустили, все же, "pfSense:The Definitive Guide" на 500 страницах, но, правда не совсем бесплатно (33 американских рубля), условно можно считать, что с выходом этого гайда, проект pfSense лишился своего главного недостатка...

Изменено 21 июня, 2010 пользователем Andrey_al

[Sergey S]

А есть тут кто-нибудь реально использующий сабж? У меня задача организовать точку доступа с протоколированием. Что я сделал:

Поставил на обычный комп pfSense, две сетевушки плюс WiFi карточка. На WiFi повесил каптиву и сквид в прозрачном режиме. Завел пользователей (пока не в радиусе, а просто локально) каптивы. Юзер авторизуется, сквид логи пишет, но вот беда - сквид в прозрачном режиме не поддерживает авторизацию, что в общем-то логично. И в своих протоколах пишет ИП адрес юзера. То есть, у меня не хватает связки - как по этому ИП вытащить имя юзера, которое использовалось при авторизации в точке доступа? Может делал кто такое уже?

[Timba]

Sergey S:

Подозреваю, что использующие сабж, кроме меня, тут есть. Только они то ли прячутся очень искусно, то ли молчаливые очень.

Сам с авторизацией не заморачивался, незачем просто было. А что касается вашего вопроса, если здесь не ответят, то я бы посоветовал зайти на официальный форум pfSense, может ваш вопрос уже там решен. Ссылка ведет на русскоязычный форум, можно выше пройти на основной.

[Yezhishe]

Достал меня домашний шлюз на Форточках (Wi-Fi карта постоянно отваливается), решил попробовать сабж.

Для начала решил попробовать LiveCD environment. Всё шустренько, сконфигурировать - не слишком проблематично, хоть и малознакомо. Завелось, домашние машины в Сеть вырвались, всё хорошо. (собственно, прямо сейчас он и работает)

Единственное "но" - нет Wi-Fi карточки, которую хотелось в мост с LAN-сетевушкой, чтоб имеющиеся семейные ноуты, коммуникаторы и телефоны ходили по беспроводу. В менюшке System пункт Packages отсутствует, но думал я, не беда - чего ж и ждать от LiveCD? Надо бы инсталлировать уже на винт, нехай нормально работает...

И вот тут-то и случился прикол - "а нет у вас HDD! Совсем нет!"... Дай-ка, думаю, ребутнусь да и попробую Normal Install. Ага! Вот прямо ЩАЗ! Нет винчестера! Хотя имеющиеся на нём Форточки нормально загружаются...

Пока в раздумьях...

[Andrey_al]

Пока в раздумьях...

попробуй другие проекты из серии мини - дистрибутивов, на базе Linux, всем хорош pfSense, кроме того, что он на freeBSD, к сожалению он совместим не со всем "железом", поэкспериментируй, например, с IPCop (или SmoothWall или IPFire), может быть с ними тебя постигнет удача, из положительных сторон этого проекта: есть русская веб - морда лица, не существенно, конечно, но приятно, модульная архитектура, в базовой конфигурации минимальный функционал (но достаточный для шлюза), который может быть расширен при помощи addon' ов

Изменено 17 октября, 2010 пользователем Andrey_al

[Yezhishe]

Попробую, отчего ж нет? Но пока вот оно у меня из оперативки работает - и хорошо ...

UPD

Ч-чёрт... Везде одна рекомендация - "Поскольку не гарантируется работа с Wi-Fi картами, мы рекомендуем установить обычную (wired) сетевую карту и подключить к ней беспроводную Точку Доступа"...

Не хочу покупать ТД! Проще купить роутер с Wi-Fi, но при живом шлюзе оно как-то... Глуповато, что ли...

[Andrey_al]

Ч-чёрт... Везде одна рекомендация

возможно надежнее пользоваться следующими рекомендациями

[alixfan]

Доступен перевод официальной книги pfSense: Definitive Guide

Ознакомиться можно здесь

[Ruslan Serg]

Роутер на pfsense перед самым новым годом 31 числа слетел. И теперь после прохождения загрузки уходит на перезагрузку по команде RESET. Я совсем не имею опыта, но нужно срочно поднять роутер.