Состоялся релиз дистрибутива для создания межсетевых экранов OPNsense 22.1, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (339 МБ)...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56592
Перешел на него 2 года назад с pfSense из за поддержки Wireguard.
А теперь и свежую фряху завезли.
Он умеет mrouted/mrouting?
Это разве не фича ядра? Всё что фря умеет умеет и сенс.
По умолчанию он отключен, его надо добавить в конфиг options MROUTING, либо загрузить модуль ip_mroute. Мало того чтобы его добавить, так надо еще установить net/mrouted, добавить в rc.conf. есть ли такая возможность у сабжа? Обычно конфиги у таких дистров генерятся при загрузке, а модули не доступны.
Если вам просто нужно мультикаст прокинуть между двумя интерфейсами то это проще сделать с помощью нетграфа.
А так да, умеет, но кажется ядро нужно будет пересобрать.
http://netlab.dhis.org/wiki/ru:software:freebsd:igmpproxy_on...
пробовал на прошлой версии поставить хотя бы htop.
послали в какой то свой собственный репозитарий.
но для того что бы им воспользоваться, потребовали, что бы я зарегистрировался на гитхабе.
Лолчто?
htop, что-что.Люди, тащащие свои глупости из своего linoops "патамушта так привыкли" вместо чтения документации и умения пользоваться штатными средствами системы (htop совершенно бесполезная для фри л@п4@тая поделка), точно так же ниасиливают прочитать документацию и штатными средствми хотя бы поставить.
Сейчас бы спрашивать шизиков с опеннета, как мне удобнее пользоваться компьютером.
> Сейчас бы спрашивать шизиков с опеннета, как мне удобнее пользоваться компьютером.Сейчас бы еще пожаловаться, что нету докера и системды.
Тебе хихоньки да хахоньки, а iX систем действительно услышала эти жалобы.Теперь вот у нас "другая реализация zfs", вместо хоть как-то позволявшей себя допилить напильником, а у них - truenas scale.
Так что не дай Б-же, услышат в pfsense - будешь настраивать nft в нескучном react over websockets интерфейсике.
Очередной луддит на опеннете. Какой сюрприз. Каким салом оси у телеги смазываешь, каким овсом лошадь кормишь, лапоть?
Да прямо скажем, FreeBSD хорошая система для хобби, но в прод это ставить можно только нишево и только от большой любви к bsd.
Ну неспособность многих линукс фанатиков оценить реальную обстановку на рынке всегда наглядно показывало их тугоумие..
Отличная новость. Впрочем не уверен, что готов переходить пока.
У меня то и в других местах 12 фря всё ещё.На счёт 13 есть опасения.
да, чего они сразу 14 не выпустили - 13 плохое же число
или по др. поводу опасения ?
Нет, число хорошее.Много глобальных изменений. Переход на другую реализацию zfs например.
А в OPNsense ещё и уход от HardenedBSD.
Уже больше года на 13, вполне норм.
По традиции ждёмс 13.1, тогда можно и на серверах проапгрейдится. А 13 пока только на ноутах, там от неё вроде даже смысл есть.
Какие? Вполне успешно работают. И производительность подтянули на 13й. Так что сейчас уже у линуксоидов начнет подгорать сильнее. Так как "яля" производительность их чуть ли не главным аргументом была.
Ну вот например такие:>There is likely a systemd unit in Linux that auto-mounts encrypted datasets.
>As for BSD, the feature was implemented in rc.conf last month but will be available only on 13.1.
>https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=256483
> Ну вот например такие:
>>There is likely a systemd unit in Linux that auto-mounts encrypted datasets.
>>As for BSD, the feature was implemented in rc.conf last month but will be available only on 13.1.
>>https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=256483Это как это automount encrypted datasets? А ключи где храняться для автомоунта?
Ключи могут быть на внешнем носителе например, или на другом датасете.
В мейл листе есть подробности касательно этого недопила конкретного.В общем вот такие проблемы могут вылазить. Поэтому жду 13.1 выпуска.
> Ключи могут быть на внешнем носителе например, или на другом датасете.
> В мейл листе есть подробности касательно этого недопила конкретного.
> В общем вот такие проблемы могут вылазить. Поэтому жду 13.1 выпуска.На открытом датасете ключи от закрытого? Потрясающе :))) Только не надо рассказывать что они типа хорошо спрятаны..
Какой смысл от авто-старта если физ.ключ все равно нужно вставлять и извлекать?
Вообще че за порнуха отдельные датасеты шифровать? Зашифровал, данные в свап слились в открытом виде. Зачем шифровал?
GEOM-ELI на всех дисках, на самом низком уровне еще до gpart с загрузочной флешкой с ключем, вот единственная нормально работающая система обеспечивающая нормальный уровень безопасности данных, остальное ерунда какая-то.
> На открытом датасете ключи от закрытого? Потрясающе :)))Можно на закрытом ключи от закрытого.
Это обычная практика.
На открытом могут быть если важно защитить данные когда диск вне системы, например его выкинули, или его переносят.> Только не надо рассказывать
> что они типа хорошо спрятаны..
> Какой смысл от авто-старта если физ.ключ все равно нужно вставлять и извлекать?Откуда мне знать?
> Вообще че за порнуха отдельные датасеты шифровать? Зашифровал, данные в свап слились
> в открытом виде. Зачем шифровал?Не знаю. Может там какая-то особо ценная информация.
Своп вроде то-же нужно шифровать как мне говорили.> GEOM-ELI на всех дисках, на самом низком уровне еще до gpart с
> загрузочной флешкой с ключем, вот единственная нормально работающая система обеспечивающая
> нормальный уровень безопасности данных, остальное ерунда какая-то.Вроде как да, но с GELI свои проблемы есть, заключающиеся в дополнительной прослойке между диском и файловой системой. Ловить физические повреждения секторов очень неприятно на таком.
А под ppc64 оно бывает? Есть старый PowerMacG5.
В курсе что сегодня RPi 2/3/4 мощнее твоего кала мамонта?
Lga 2011 v3 на али можно все ещё купить за копейки.
Опять двадцатьпять - сказано же ж, межсетевой экран. А у вас китайский рылотык на плате.
И дорогущий pci-x если хочется поставить нормальный интел.Продолжайте играть в кваку, это вот то для чего те китайцы и предназначены.
Ну тогда берется любой системник на 775 сокете, накатывается Фряха и настраивается межсетевой шлюз.
ну это в зависимости от того, что ты хочешь. Если понастраивать фряху - то конечно да.
А если побыстрому сварганить пакетный фильтр на пару-тройку сегментов + vpn + какой dhcp раздать и забыть, а других применений тазику не предвидится из банальной осторожности - то настройку фряхи можно и пропустить, авторы пфф-сенсы за тебя уже все настроили.
Растоман?
> сказано же ж, межсетевой экранВесь твой домашний лан «экранировать» можно хоть на «умных часах». А в прод, очевидно, не bsd на некрожелезе ставят, а решение Juniper или Cisco.
Ставят, ага. Потом оно, правда, начинает складываться, причем не под нагрузкой, а от вообще непонятных причин, "премиум" саппорт разводит ушами, а ты смотришь на умные часы - успеешь сбежать до пятничной порки или нет.И если необходимости в шибко-нью-женерейшн фиреволе у тебя на самом деле не было, то ты начинаешь подозревать, что, возможно, правильней было бы - наоборот.
А домашние ланы у некоторых и на 10G сетевухах бывают. С несколькими изолированными сегментами, что характерно. Подскажешь решение от циско, которое не лопнет, если с одной стороны 10G потребитель, а с другой - ceph какой-нибудь, с таким же аплинком? (и да, если ты понимаешь, как он работает - тебе очень захочется его изолировать. ng-firewall для этого, что характерно, не нужен)
> Потом оно, правда, начинает складываться, причем не под нагрузкой, а от вообще непонятных причин,Открываешь RMA тикет и через сутки курьерская почта доставляет модули на замену. И всё начинает работать. Бракованное оборудование дело такое, лучше сразу менять.
> А домашние ланы у некоторых и на 10G сетевухах бывают. С несколькими изолированными сегментами, что характерно.
Что ж не на 100G? Жена не даёт на нормальный sfp денег? ;) Но так-то ты прав, шизиков в айти довольно много. Дома датацентры строят, СХД на петабайты под сериальчики, и генератор на балконе, а то вдруг домашний хайлоад с LA 0.0 остановится и «девяточки» посыпятся. И всё ради того, чтобы с такими же шизами на опеннет постить.
> Подскажешь решение от циско, которое не лопнет, если с одной стороны 10G потребитель, а с другой - ceph какой-нибудь, с таким же аплинком?
Я вижу ты не очень разбираешься в сетях, так что советую обратиться в отдел продаж Cisco или Juniper, там толковые ребята, расскажут что и как, сведут с архитекторами и инженерами, тренинги предложат, в общем не дадут потеряться.
> Открываешь RMA тикетвот и сказочников подвалило.
Модули на замену тебе будут - когда ты докажешь, покажешь, и песенку споешь - что проблема именно в модуле. И угадаешь, в каком. Никаких "rma ticket" ни у цисок, ни у жуниперов не бывает, это тебе не колбасу на развес покупать.
Рад, кстати, этому не будешь.
Ребятки, поменявшие в двадцатиминутные окна допустимого простоя ЧЕТЫРЕ с-ка модуля один за другим (выпутать пачку проводов, так чтоб модуль пролез без разборки всей стойки, поменять, воткнуть всю пачку назад и смотри не перепутай что куда - 20 минут тик-так), чтобы в очередной раз услышать от саппорта "знаете, похоже, проблема в бэкплейне - давайте корзину менять" что-то счастьем не лучились.> Что ж не на 100G? Жена не даёт на нормальный sfp денег? ;)
тебе, прыщавый, похоже вообще никто не дает. Вот и ходишь др-ть на впопеннет.
Домашняя десятка с некоторыми фокусами была доступна нормальному айтишнику еще лет десять тому назад. Ну да, ну да, надо не тазики по помойным офисам расставлять было.Ну и иметь какое-то отношение к специальности, помимо сказочек - тогда бы ты знал, зачем и почему может понадобиться дома что-то большее чем твой усб-свисток.
> Я вижу ты не очень разбираешься в сетях,
пока что все видят что в сетях не разбираешься ты - поскольку не смог ответить на прямо заданный вопрос ничем кроме виляния и кивания на отделы продаж.
Проды разные бывают.Провайдеры активно юзали тазики на линухах и фре для NAT и до сих пор юзают, потому что по деньгам оно выходит дешевле всяких железок.
С брасом/нас тоже самое.У меня тазики с фряхой роутили небольшие офисы лет по 10 на базе офисных же компов, я уже это не обслуживаю но оно походу всё ещё работает.
> Провайдеры активно юзали тазики на линухах и фре для NAT и до сих пор юзают, потому что по
> деньгам оно выходит дешевле всяких железок.а прикованный раб - бесплатен!
Не работайте у таких провайдеров. И с такими в общем-то тоже нежелательно. Они ж не только на железе и рабах экономят.
Тазики в офисе обслуживаются любым вменяемым провайдером под ключ, дешевле и надёжнее, чем что угодно собранное офисным эникеем на фряхе и изоленте. SLA, 24×7 поддержка, гарантии.
да ему - межсетевой экран, а не чай вскипятить побыстрому.А у ваших поделок по прежнему единственная сетевуха и та через usb-мост на сопле и скотче.
> В курсе что сегодня RPi 2/3/4 мощнееЭто те, которые пропали из продаж и не собираются появится как миниум в 2023 и которые на ебэе продаются по стоимости Делл 9020 с i5-4ххх которые как миниум с 4 гигом памяти ?
Чушь, кроме Гикбенча RPI похвастаться нечем. Photoshop на G5 работает весьма неплохо, а вот на RPi даже если бы и заработал, то кроме как инвалидности у хозяина вызвать бы не смог.
как старовер посижу, пожалуй, на pfsense.
эти ваши модные поделки - ну их нафик.
А почему бы не взять для этих целей OpenBSD? Это же по сути искоробочный роутер. Есть даже официальный гайд по настройке от самих разработчиков.
Может потому что он медленный, как черепаха?)
В дисковых операциях - да, но тут-то речь о сетевом стеке.
https://forum.opnsense.org/index.php?topic=19225.0
Там про сложности миграции сабжа с фряхи на опёнок.Я же считаю, что подобные вещи вообще не нужны, когда есть OpenBSD - система, изначально разрабатываемая с прицелом на сетевые экраны.
На сервер, разумеется, я бы поставил Linux или ту же FreeBSD, например. Но нафига городить такие велосипеды, когда есть шикарное искоробочное решение?
У шикарного искоробочного решения есть единый веб-интерфейс (или любой другой) с возможностью экспорта/импорта всей конфигурации или всё через CLI и правку файлов в тридцати местах?
https://www.openbsd.org/faq/pf/example1.htmlЗачем? Там всё настраивается за 10 минут. С базовой настройкой разберётся любой, кто маломальски знаком с сетями. А если таких навыком нет, то и никакая веб морда не поможет, всё равно придётся вызывать "бородатых админов в затёртых свитерах".
Собственно сам сервис фаервола это ещё не фаерволл.Нужно обеспечить безопасность управление обновление всей системы.
И, что в опёнке с драйверами? Челсио карты 5хх поддерживает?
А, прости Аллах, реалтеч?
Ты прикалываешься что-ли? Кто тебе "за 10 минут" что настраивать будет, когда твой колхоз на опенбзд сдохнет в три часа ночи? И причём тут базовая/не базовая настройка? Я говорил о возможности экспортировать/импортировать конфигурацию целиком и вытекающая из неё возможность просмотреть эту кофигурацию целиком, не пролистывая тридцать текстовых файлов, распиханных по разным углам системы. Как ты думаешь, почему у циско/джунипера/микротика/любого другого вендора есть возможность так делать?
Ну так и покупай циску/джунипер/микротик. А то вдруг твой мичуринский колхоз от васянов на фрилсд сдохнет в 3 часа ночи?Сам себе же и противоречишь.
Какой колхоз? OPNsense? А почему это он вдруг "колхоз"? Это же не наколенная поделка админа локалхоста в духе "Смотрите, как я роутер из батона хлеба, линукса и двух сетевух соберу!". Вполне себе коммерческий продукт, который вполне можно купить вместо циски/джунипера//микротика (хоть это firewall, а не роутер). И там есть экспорт/импорт всего конфига, что позволяет в 3 часа ночи просто сделать "import configuration" на новой железке, если уж High Availability не используете.Я реально не понимаю тяги использовать велосипеды в тех местах, где уже давно всё придумали. Этих сетевых ОСей - куча: OPN/pf -sense, Untangle, Sophos, VyOS, Router OS и другие, менее известные. У них есть мануалы, сообщества, они рассчитаны на работу в качестве роутера и продаются в виде железа (насчёт VyOS не уверен). Нет, в каждой теме про эти ОСи найдётся пара вопрошающих "а чо просто линукс не использовать?". А чо не винду? Почему бы на винде роутер не сделать? Ведь можно же?
>Почему бы на винде роутер не сделать? Ведь можно же?Исходя из древней летописи винсервер доков, можно.
Однако никто ныне такого не видел. И даже легенды молчат о этом запретном колдунстве.
От чего среди простого люда бытует мнение, что писарь либо что-то не так перевёл с текстов ещё более древних, либо по неразумению своему наврал.
>Почему бы на винде роутер не сделать? Ведь можно же?Ну вот ты и попробуй, потом расскажешь о своих успехах.
Зачем? У меня есть китайский ПК с OPNsense, Mikrotik CHR, пачка микротиков, пара цисок и джунипер. А, и ещё openwrt на распберри. И это только то, что у меня дома есть. Зачем мне колхоз городить? У меня полно профессиональных инструментов. Меня они полностью устраивают и делать "роутер" из десктопной операционной системы я смысла не вижу.
Ты Фряху с Пингвиниксом не путай. Это в туксонарии всё раскидано по разным углам, в Фряхе конфиги в двух местах, /etc и /usr/local/etc, ну накрайняк ещё /boot/loader.conf можно забрать.
Позавчера с ужасом обнаружил, что pf не умеет policy based routing для ответного трафика. 😱
Для того, чтобы направить ответы через тот же шлюз, через который пришли запросы пришлось городить огород на самих хостах, вместо того, чтобы настроить это на роутере.
Когда читать не умеем, и не такие огороды надо придется городить.
Садись два.https://docs.opnsense.org/manual/gateways.html > “Dynamic gateway policy” in the interface settings.
Это не то.
Вот: https://forum.netgate.com/post/886465
Думал пару раз про сабж и PfSense, но остался на бесплатном для дома Sophos XG, 1.уже все настроенро в комплексе, только правила свои определить. 2.На основе Linux (Debian), еслит уж ковыряться захочется, то все привычно.