Перейти к содержимому
СофтФорум - всё о компьютерах и не только
Timba

pfSense

Рекомендуемые сообщения

309df03c6b3e.jpg

Этот дистрибутив базирован на проекте m0n0wall , а тот в свою очередь на FreeBSD , распространяется по лицензии BSD и является бесплатной и очень функциональной заменой дорогим коммерческим решениям. Текущая стабильная версия 1.2.2, но доступен и 1.2.3 RC1.

Несмотря на низкие минимальные требования к аппаратному обеспечению (CPU100MHz Pentium/128MB RAM/1GB HDD), имеет очень богатое функциональное наполнение: LAN/ WAN Router, NAT, Firewall, VPN, DHCP, PPPoE, DynDNS, CARP, пассивное определение операционных систем с которых идет трафик, что позволяет более гибко создавать правила доступа и еще многое другое, да и базовую функциональность можно еще больше расширить, установив дополнительные пакеты, такие как Snort , Squid, HAVP antivirus, TinyDNS-server, IMSpector, Nmap, Spamd и пр. Может быть так же настроен в режиме прозрачного моста при использовании во внутренних сетях. Управляется как через Web-интерфейс, так и через SSH при необходимости.

Из недостатков следует отметить отсутствие нормальной документации по продукту. Нет подробного Administrator`s Guide в формате PDF как у SmoothWall Express, ни HandBook, как у FreeBSD. Вся документация собрана из каких-то отдельных HTML-страничек, FLASH-роликов, обрывочных PDF-руководств, How To, ссылок на документацию по m0n0wall и т.п. Впрочем, на сайте присутствует информация, что скоро будет готова полноценная документация. Пишут что в 2009 году. Поживем — увидим. :music_band:

Подходит для использования как на бездисковых станциях (загрузка с CD-ROM и сохранение конфигурации на Flash-накопителях или FDD), так и на полноценных ПК с установкой на жесткий диск. Мы рассмотрим последний вариант.

1. Загрузка и установка.

Скачиваем образ Live-CD в формате ISO, с одного из зеркал , записываем его на CD болванку и получаем загрузочный диск. Выставляем в BIOS загрузку с CD-ROM, грузимся. Процесс загрузки не имеет графического интерфейса, имеется только интерфейс командной строки, впрочем там все достаточно понятно. Для базовой конфигурации достаточно указать WAN и LAN интерфейсы, а все остальное настроить уже потом. По умолчанию IP-адрес будет 192.168.1.1.

После загрузки имеем меню состоящее из 16-ти пунктов:

b658352f654c.jpg

Нас больше всего интересует последний пункт: установка на жесткий диск. Выбираем 99, нажимаем Enter, запускается установка. Здесь уже имеется текстовый интерфейс. Подробно на установке останавливаться не буду, все достаточно ясно и понятно, тем более что здесь весь процесс представлен в картинках.

Установили, перезагружаемся, не забыв переключиться на загрузку с HDD. :)

2. Настройка

Опять попадаем в такое же меню. Меняем внутренний IP-адрес на необходимый, и далее всю дальнейшую настройку можно производить через Web-интерфейс. Набираем в браузере внутренний адрес свежеустановленного pfSense, по умолчанию login: admin, password: pfsense (который желательно сразу поменять после базовой настройки) и нас сразу встречает Setup Wizard, который проведет по всем основным шагам базовой настройки. Здесь задаются: имя хоста, домена, адреса DNS серверов, временная зона, адрес NTP сервера и конфигурация WAN интерфейса. На закуску предлагают поменять пароль. Что мы и делаем.

Закончили с Setup Wizard и видим состояние системы и собственно Web-интерфейс, через который все и настраивается дальше. Состояние системы показывает загрузку процессора, использование памяти, SWAP и HDD. Интерфейс сделан достаточно просто вверху выпадающее меню состоящее из семи разделов, в каждом разделе соответствующие разделу подпункты (правда не всегда логично расположенные). Никаких «горячих» кнопок и особых зон. Разберем разделы более подробно:

System:

d7e9433e8625.jpg

Здесь представлены следующие подпункты:

* Advancedздесь можно включить SSH сервер, задать порт доступа и способ аутентификации (по паролю или по ключу), задать сертификаты и ключи для доступа по SSL к Web-конфигуратору, здесь же настройки для трафик-шейпера и некоторые другие.

* Firmwareназвание говорит само за себя. :-)

* General setupвесьма нужный пункт, здесь указываются адреса DNS-серверов, имя домена, меняются протоколы и порты для доступа к управлению через Web-конфигуратор, временная зона. Здесь же можно сменить и тему интерфейса и пароль.

* Packagesустановка и удаление дополнительных пакетов.

* Setup wizardэто именно тот визард, через который мы делали первичную настройку.

* Static routesтоже все понятно, здесь задаются статические маршруты.

Interfaces:

f540ce70efef.jpg

Подпункты:

* (assign)здесь создаются (удаляются) VLAN`ы и указываются LAN и WAN интерфейсы.

* WANесть 4-ре варианта настройки (Static, DHCP, PPPoE, PPTP) в зависимости от того, что вам предоставляет провайдер, или вышестоящий администратор, если это внутренняя сеть.

* LAN - здесь все должно быть понятно, останавливаться не буду.

Firewall:

7939c24a795b.jpg

Подпункты:

* Aliasesпользуясь этим подпунктом, можно упростить создание правил для файрволла.

* NATздесь настраивается форвардинг портов и прочие манипуляции с NAT.

* Rulesсобственно, то место, где создаются, модифицируются правила для трафика.

* Shedulesсоздание расписаний.

* Traffic Shaperвоспользовавшись этим пунктом, можно настроить трафик-шейпер для того или иного интерфейса, указав нужную скорость и приоритеты для разных видов трафика (VoIP, P2P, сетевых игр и прочего).

* Virtual IPsнужны для использования ARP proxy и настройки CARP.

Services:

34d74d1d6b87.jpg

Подпункты:

* Captive portalпри необходимости можно задействовать эти продвинутые функции для более гибкого управления доступом и пользователями.

* DNS forwarder управление DNS — релеем.

* DHCP relayто же самое, но для DHCP — релея, не работает, если используется DHCP server.

* DHCP serverвсе настройки для него (пулы адресов, раздача DNS, NTP, Gateway, время аренды, IP для failover и пр.

* Dynamic DNSздесь настраиваются параметры для использования сервисов Dynamic DNS, их поддерживается 9 штук.

* Load Balancer — балансировка нагрузки при нескольких WAN интерфейсах и включение сервера в пул серверов.

* OLSRвключение и настройка OLSRD, кто не знает что это, и нужно ли оно вообще, смотрит здесь :)

* PPPoE ServerpfSense может работать как PPPoE-сервер, здесь находится управление его конфигурацией и пользователями.

* RIPвключение(отключение) RIP-сервера.

* SNMPуправление демоном SNMP.

* UPnPвключение, настройка, отключение использования этой технологии.

* OpenNTPDясно из названия, управление встроенным NTP сервером.

* Wake on LANнадеюсь понятно и так. :)

VPN:

367e79432f5b.jpg

Подпункты:

* IPsecпрекрасно служит для создания защищенных каналов между удаленными подразделениями компании, поддерживается несколько алгоритмов шифрования (DES, 3DES, Blowfish), здесь смотрите сами, какой использовать для баланса «скорость/защищенность», к сожалению, при включенном NAT поддерживаются не все функции этого протокола, работы ведутся, но может быть эти фукции вам и не нужны.

* OpenVPNЕсли предыдущий вариант создания VPN-соединения вас не устраивает, то можно воспользоваться этим, он поддерживается лучше, но требует более широкой полосы пропускания из-за использования SSL.

* PPTPpfSense можно настроить как PPTP- сервер для входящих VPN соединений по этому протоколу. Очень удобен, если у вас много пользователей, которым необходим доступ в сеть извне с различных адресов и устройств. Типы аутентификации можно задать как встроенную, так и на указанном RADIUS-сервере.

Status:

eb27d61bd266.jpg

Подпункты:

* CARP (failover)просмотр статуса failover-конфигурации с использованием протокола CARP при создании отказоустойчивой конфигурации из 2-х и более серверов.

* DHCP leases состояние DHCP.

* Filter Reload Statusперезапуск фильтров трафика. (непонятно почему этот пункт здесь)

* Interfacesстатистика о состоянии сетевых интерфейсов.

* IPsecсостояние IPsec.

* Load Balancerсостояние балансировки.

* Package logsинформация от установленных дополнительных пакетов.

* Queuesинформация от включенного трафик-шейпера.

* RRD Graphsмасса графиков в режиме реального времени о системе, трафике, пакетах и пр.

* Servicesсостояние служб. Здесь так же можно остановить/запустить необходимые.

* Systemсобственно то, что мы увидели после первичной настройки.

* System logsсобственно логи (системы, файрволла, DHCP-сервера, VPN-сервера, и пр.) Здесь же и настраиваются параметры ведения логов и способ их хранения (локально или на удаленном syslog-сервере)

* Traffic graphграфик реального времени по сетевым интерфейсам.

* UPnPинформация о UPnP.

Diagnostics:

377903eae210.jpg

Подпункты:

* ARP Tablesони и в Африке ARP Tables. Добавить нечего.

* Backup/Restoreбэкап/восстановление конфигурации, а так же история изменений.

* Commandвведение команд для запуска через шелл и некоторые другие.

* Edit Fileредактирование файлов настройки при необходимости.

* Factory defaultsсобственно сброс всех настроек на настройки по умолчанию. Может * пригодиться, если было внесено так много изменений, что уже не разобраться. :) Тогда действительно проще сбросить все и настроить заново.

* Halt systemвыключение системы.

* Pingсобственно ping он и есть ping, позволяет какой-либо хост проверить на доступность.

* Reboot systemперезагрузка системы.

* Routesпоказывает какие маршруты задействованы, по каким интерфейсам, какой размер MTU и т. п.

* Statesсостояние (с каких узлов на какие, по каким портам и протоколам проходят пакеты и состояние портов)

* Tracerouteтот же traceroute для определения путей хождения пакетов.

* Packet Capture - пакетный сниффер, для перехвата пакетов по интерфейсам, хостам, портам для последующего анализа.

Непонятно, почему сюда были включены пункты Backup/Restore, Factory defaults, Halt system и Reboot system. По-моему им самое место в меню System, но видно разработчикам так удобнее. :)

Я уже говорил про темы, их можно менять. На скриншотах представлена тема nervecenter, она ставится по умолчанию, мной была использована для наглядности как организовано меню. Для работы более удобна тема pfsense, все меню расположено в левом табе и выглядит она так:

8072f76667cf.jpg

В заключение хочется добавить, что это был обзор только встроенных возможностей данного продукта. Существует множество не описанных расширений этого функционала, ведутся работы по интеграции с VoIP-сервисами посредством FreeSWITCH и т.д. В общем, продукт очень гибок и функционален, уместив такую мощь в таком компактном виде и с такими низкими требованиями к ресурсам... и выпустив под лицензией BSD... разработчики очень постарались, спасибо им.

Изменено пользователем Timba

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Из недостатков следует отметить отсутствие нормальной документации по продукту. Нет подробного Administrator`s Guide в формате PDF как у SmoothWall Express, ни HandBook, как у FreeBSD. Вся документация собрана из каких-то отдельных HTML-страничек, FLASH-роликов, обрывочных PDF-руководств, How To, ссылок на документацию по m0n0wall и т.п. Впрочем, на сайте присутствует информация, что скоро будет готова полноценная документация. Пишут что в 2009 году. Поживем — увидим. smile.gif

пожили - увидели, :) выпустили, все же, "pfSense:The Definitive Guide" на 500 страницах, но, правда не совсем бесплатно (33 американских рубля), условно можно считать, что с выходом этого гайда, проект pfSense лишился своего главного недостатка...

41L17TqKfaL._SS500_.jpg 41LXtN_u_sL.jpg

post-36702-1277106673_thumb.jpg

post-36702-1277106686_thumb.jpg

Изменено пользователем Andrey_al

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А есть тут кто-нибудь реально использующий сабж? У меня задача организовать точку доступа с протоколированием. Что я сделал:

Поставил на обычный комп pfSense, две сетевушки плюс WiFi карточка. На WiFi повесил каптиву и сквид в прозрачном режиме. Завел пользователей (пока не в радиусе, а просто локально) каптивы. Юзер авторизуется, сквид логи пишет, но вот беда - сквид в прозрачном режиме не поддерживает авторизацию, что в общем-то логично. И в своих протоколах пишет ИП адрес юзера. То есть, у меня не хватает связки - как по этому ИП вытащить имя юзера, которое использовалось при авторизации в точке доступа? Может делал кто такое уже?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Sergey S:

Подозреваю, что использующие сабж, кроме меня, тут есть. Только они то ли прячутся очень искусно, то ли молчаливые очень. :(

Сам с авторизацией не заморачивался, незачем просто было. А что касается вашего вопроса, если здесь не ответят, то я бы посоветовал зайти на официальный форум pfSense, может ваш вопрос уже там решен. Ссылка ведет на русскоязычный форум, можно выше пройти на основной.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Достал меня домашний шлюз на Форточках (Wi-Fi карта постоянно отваливается), решил попробовать сабж.

Для начала решил попробовать LiveCD environment. Всё шустренько, сконфигурировать - не слишком проблематично, хоть и малознакомо. Завелось, домашние машины в Сеть вырвались, всё хорошо. (собственно, прямо сейчас он и работает)

Единственное "но" - нет Wi-Fi карточки, которую хотелось в мост с LAN-сетевушкой, чтоб имеющиеся семейные ноуты, коммуникаторы и телефоны ходили по беспроводу. В менюшке System пункт Packages отсутствует, но думал я, не беда - чего ж и ждать от LiveCD? Надо бы инсталлировать уже на винт, нехай нормально работает...

И вот тут-то и случился прикол - "а нет у вас HDD! Совсем нет!"... Дай-ка, думаю, ребутнусь да и попробую Normal Install. Ага! Вот прямо ЩАЗ! Нет винчестера! Хотя имеющиеся на нём Форточки нормально загружаются...

Пока в раздумьях...

post-10654-023222500 1287320332_thumb.jp

post-10654-023222500 1287320332_thumb.jp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Пока в раздумьях...

попробуй другие проекты из серии мини - дистрибутивов, на базе Linux, всем хорош pfSense, кроме того, что он на freeBSD, к сожалению он совместим не со всем "железом", поэкспериментируй, например, с IPCop (или SmoothWall или IPFire), может быть с ними тебя постигнет удача, из положительных сторон этого проекта: есть русская веб - морда лица, не существенно, конечно, но приятно, модульная архитектура, в базовой конфигурации минимальный функционал (но достаточный для шлюза), который может быть расширен при помощи addon' ов

Изменено пользователем Andrey_al

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробую, отчего ж нет? Но пока вот оно у меня из оперативки работает - и хорошо blushing.gif...

UPD

Ч-чёрт... Везде одна рекомендация - "Поскольку не гарантируется работа с Wi-Fi картами, мы рекомендуем установить обычную (wired) сетевую карту и подключить к ней беспроводную Точку Доступа"...

Не хочу покупать ТД! Проще купить роутер с Wi-Fi, но при живом шлюзе оно как-то... Глуповато, что ли...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Роутер на pfsense перед самым новым годом 31 числа слетел. И теперь после прохождения загрузки уходит на перезагрузку по команде RESET. Я совсем не имею опыта, но нужно срочно поднять роутер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас


×