Опубликован релиз компактного дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.6.0. Дистрибутив основан на кодовой базе FreeBSD с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки подготовлен iso-образ для архитектуры amd64, размером 430 МБ...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56704
обновился сегодня. полет нормальный.
кстати, там, в нетгейте, на безвозмездной основе(даром) предлагают обновиться с pfsense 2.60(2.70)CE - community edition до pfsense plus.обновился. все норм.
инструкция тут https://docs.netgate.com/pfsense/en/latest/install/migrate-t...
Какой сакральный смысл в отдельном дристре? Чем это отличается от того же самого просто во фряхе?
В каждом, блин, посте одни и те же вопросы... "Просто во фряхе" есть ЕДИНАЯ конфигурация, которую можно просмотреть/экспортировать/импортировать ОДНОЙ командой? "Просто во фряхе" есть ЕДИНЫЙ интерфейс управления, без разницы web он или cli (речь не про консоль, а про циско-подобный cli)? "Просто во фряхе" есть техподдержка и/или сообщество, которые помогут тебе, когда твой велосипед не заведётся?
Есть фряшный сервер, как организовать на нём экран всего того, что ты наговорил, что оно якобы где-то есть, не устанавливая ещё одну машинку в цепочку?
Никак? И зачем это делать? Для этого и есть OPN/pfSense, VyOS, Untangle и другие специализированные дистрибутивы для файрволлов/роутеров. Да, можно и на голой BSD/linux это всё сделать, но зачем на этом останавливаться? Можно же и не винде это всё навертеть!
А что через год делать, когда она снова платной станет ?
home/lab лицензии платными не будут.
Тоже перешел на + (взял одну LAB и одну HOME лиц.). Прошел по ссылке из веб интерфейса поинтересоваться и увидел, что PfsenseCE будет поддерживаться и обновляться до 31.12.2022 и затем все.
"...pfSense CE будет поддерживаться и обновляться до 31.12.2022, а затем, всё."
в каком смысле "всё"? продукт станет проприетарным?
могу ответить на вопросы только поделившись своим мнением начитавшись форумов (не рус.конечно). Netgate таким образом заявляет, что по истечении этой даты больше не хочет тянуть две ветки развития, как говорят работающие там люди (если верить этому), они хотят оставить только одну и это pfSense+ куда будут вкладывать все дальнейшие усилия по разработке и добавлению новых функций. Думаю pfSenseCE останется, но только в каком виде не известно, код то открытый. Netgate в свою очередь пишет, что якобы не "бросит" и эту ветку, но все что будет новое, в pfSenseCE уже не будет. Они хотят заменить лицензирование продукта, если у них на сайте почитать, то возможно станет понятно, новые функции они не могут (типа) добавить в pfSenseCE потому что это связано с действующим лиценpированием на используемое ПО, а по факту мы сможем увидеть как будет на самом деле только после этой даты. Как пишут многие, почему то веры им нет, простая монетизация. Но по заявлениям Netgate home и lab всегда будут бесплатными, но при соблюдении уже их новой лицензии (на сайте netgate тоже есть, только не для коммерческого использования).
Мир не меняется, ведь бесплатный сыр так кажется вкусен...> кстати, там, в нетгейте, на безвозмездной основе(даром) предлагают обновиться с pfsense 2.60(2.70)CE - community edition до pfsense plus.
Вы перед тем как апгрэйдить на плюс, читали внимательно условие лицензионного соглашения ?!!!
>"Evaluator shall not relocate Products without the prior written consent of Netgate" and "Software provided by Netgate may contain tracking and/or disabling features"
и особенно это:
> Evaluator agrees to provide Netgate personnel full and free access to the Product, including remote access, subject to the Evaluator’s security regulations, for the purpose of observing the testing and performance of the Product.
>ZFSДААА!! Это о чего не хватало в межсетевом экране все последние 50 лет...
На Линукс ожидали код от Paragon,такие дела,такие задачи.
> На Линукс ожидали код от Paragon,такие дела,такие задачи.А вот в линуксе!!! Хотя причём тут линукс, когда речь о бзде была?
Наверное у вас типичное совковое проявление whataboutism`а.
Но в линукс попало гораздо больше различного кода для поддержки различных ФС.
Файловой системы, внезапно. Той которая хоть как-то работает и не ушатывается простым отключением питания. А в рамках проекта ZoL(openZFS) - range-locks починили в 2019 году.
Вообще - я доволен за пфсенс.
Но ZFS же обычно и памяти требует немало, даже без дедупликации. Для межсетевого экрана наверное дороговато по ресурсам.
Может размер потребляемой памяти зависит от размера ФС?
может данная хитроумная фс нужна в межсетевом экране как собаке пятая. в таком вот аксепте...
Это все настраивается.
последний релиз поставил на ZFS, каких-то заметных расходов памяти не заметил
>Но ZFS же обычно и памяти требует немалоЭто миф.
>Для межсетевого экрана наверное дороговато по ресурсам.Межсетевой экран обычно немного пишет на диск, так что ему в целом всёравно.
А дополнительные системы контроля целостности данных лишними не будут.
В любом случае, вас не заставляют пользоваться этим, задача админа решать что ну жно для конкретной системы, а что нет.
>>Но ZFS же обычно и памяти требует немало
>Это миф.Это не миф. Сам использую XigmaNAS. Понятное дело, потребление ресурсов от размера хранилища зависит, как выше уже ответили, но использовать самую прожорливую 128-битную ФС в роутере, где обычно мало ОЗУ, мало каталогов/файлов и мало операций записи и вроде как ненужны все эти мегафьючи, достигнутые за счет объединения в одном флаконе функционала ФС и менеджера томов - вроде как оверкилл. Самая жрущая и фичастая ФС должна быть на файлсерверах, а не на роутерах.
Нет. Это миф.
Никакой особой прожорливости у неё нет.
А управление томами вообще никак на память не влияет.>но использовать самую прожорливую 128-битную ФС в роутере, где обычно мало ОЗУ
Ну, у моего роутера всего 8 гигабайт например, мало конечно, но ему хватает, и зфс там вообще незаметно существование.
> Ну, у моего роутера всего 8 гигабайт например, мало конечно, но ему хватает, и зфс там вообще незаметно существование.херасе у тебя роутер :) не большой свечной заводик тырнетом обеспечиваешь ?? :)
Ну да при таких объемах, зфс будет незаметна
> херасе у тебя роутер :) не большой свечной заводик тырнетом обеспечиваешь ??
> :)
> Ну да при таких объемах, зфс будет незаметнаНу, всякие DPL системы легко могут скушать и добавки попросят. Плюс другие сервисы, ВПН и прочее.
В любом случае лучше иметь запас по ОЗУ чтобы вдруг на критическом узле инфраструктуры в него не врезаться.Вот кстати статистика по OPNsense https://github.com/bsdhw/Trends/tree/master/Dist/OPNsense#ra...
Я попадаю в 25% пользователей, 66% имеет более 8Гб ОЗУ.
также стоит 8 гб и половина занята, неприятно. только занимает ее не pfsense а установленный из пакетов (пакетов pfsense)ntopng, pfsense жрет около гига. хотелось двухканал, искать специально модули меньше 4гб особого смысла нет...
OpenZFSом в данной версии pfSense и не пахнет даже.
может кто растолкует зачем на шлюзе ZFS?
Для снаршотов, бэкапов и инкриментального синка.
>> зачем на шлюзе ZFS?
> Для снаршотов,https://www.freebsd.org/cgi/man.cgi?query=mksnap_ffs&sektion...
> mksnap_ffs -- take a file system snapshot-
> бэкаповhttps://www.freebsd.org/cgi/man.cgi?dump(8)
$ dump -0Laun -C32 -b64 -h0 -f - / | zstd -T4 --long -3 |ssh ...
> и инкриментального синка.$ dump -1Laun -C32 -b64 -h0 -f - / |
Тебе не надо - значит никому не надо!
Кстати да, спасибо за пример с дампом, лишний раз доказывающим что zfs snapshot - намного удобнее в использовании.Но фиг с ними, снэпшотами. Если под фрибздой есть более устойчивая ФС чем ZFS - то напиши какая. И это точно не UFS, вне зависимости от SU, J.
> Тебе не надо - значит никому не надо!Не нужно приписывать мне свои фантазии.
> Кстати да, спасибо за пример с дампом, лишний раз доказывающим что zfs
> snapshot - намного удобнее в использовании.У тебя там точно шлюз, а не "хранилка для прона с конями"(с)?
Для шлюза, дамп 1 уровня в качестве snapshot - "за глаза".
> Но фиг с ними, снэпшотами. Если под фрибздой есть более устойчивая ФС
> чем ZFS - то напиши какая. И это точно не UFS, вне зависимости от SU, J.Да и фиг с ними, твоими фантазиями. А у нефантазеров ФС на шлюзе в ro.
очевидно, что ты, трепло, ни разу в жизни не видел zfs в работе
>> зачем на шлюзе ZFS?
> Тебе не надо - значит никому не надо!
> спасибо за пример с дампом,
> очевидно, что ты, трепло, ни разу в жизни не видел zfs в работеС 2014 "не видел", ага *сарказм*.
Очевидно что ты, балаболка, хорошо умеешь лишь фантазировать и с умным видом спрыгивать с темы, а фрю видел только на картинке ...
Я тебе страшный тайна открою - он и ufs со снапшотами в РАБОТЕ не видел - на "свабодная касса" этого и не увидишь.Ну так, прекрасная ведь идея локнуть ВСЕ процессы которые угораздило обратиться к диску (даже на чтение) минуточек на пять-пятнадцать? Для фиревала особенно успешно.
Да, так работают бессмысленные и беспощадные ufs snapshots.
> Я тебе страшный тайна открою - он и ufs со снапшотами в
> РАБОТЕ не видел - на "свабодная касса" этого и не увидишь.А вот и самый главный любитель хранить порно с конями на шлюзе.
> Ну так, прекрасная ведь идея локнуть ВСЕ процессы которые угораздило обратиться к диску (даже на чтение) минуточек на пять-пятнадцать?
> Для фиревала особенно успешно.
> Да, так работают бессмысленные и беспощадные ufs snapshots.Ты точно видел snapshotы последние лет 10?
Их как написали пятнадцать лет назад, в 2005м, так никто и не переделывал, works as intended же ж.Порно с конями как раз можешь хранить, нетфликс так и делал. Нельзя большие открытые файлы держать - логи там всякие, базки, прочие ненужно (ты не поймешь, это не про порнушников). Локап на создании снапа из-за них, от общего объема диска он не зависит никак, пока тот объем мертвым грузом.
P.S. а еще можешь boot environment попробовать на ufs собрать. Что для шлюза таки полезно, во избежание срочного перелета в Караганду на поджопниках.
(Я бы, правда, и на zfs не советовал, они все время поломаны когда нужны оказываются.)
Ну одну ZFS мне пришлось развалить, так-как scrub не мог исправить какую-то ошибку в метаданных. А вот UFS за последние лет 10 уж точно ни разу не разваливалась. Так что старые сказки давно протухли.
Бакапов чего??? Логов чтоли?
Чтобы внезапно потерять систему при внезапном отключении электричества.
вы забыли написать "НЕ", чтобы внезапно НЕ потерять, спокойнее всего отношусь к внезапным отключениям на системах, где ZFS
> вы забыли написать "НЕ", чтобы внезапно НЕ потерять,И чем же чревато отключение для RO-UFS?
Хорошо иметь на межсетевом экране терабайт оперативки... Иначе кудаж ее еще девать...
> Хорошо иметь на межсетевом экране терабайт оперативки... Иначе кудаж ее еще девать...вы это из-за ZFS думаете надо столько? Ну да, если вам на сетевом экране зачем-то надо 1 петабайт данных хранить, то при использовании ZFS пригодится 1 терабайт оперативки, согласен :)
> Чтобы внезапно потерять систему при внезапном отключении электричества.Это по UFS.
других по сути нет, это фряха
О, можно уже профильнуть запуск firefox'a.
:)
ну и как, получилось ?!
Обновил 2 сервера полет нормальный
Более управляемый дистр. ОпенСенс такая муть. То ставиться не хочет, то не конфигурируется.
ПыФ - вообще красота.
Когда ж они перейдут на 3-й снорт? А то к 2.9 сигнатуры обновляются не так уж и весело, от слова совсем.
Наркоман что ли? что не ставится, руки достань из... Опн намного переплюнул пф
пересел на сурикату.
нравится.
Нафига здесь ZFS? Шлюз вообще в ROOT/RO работать должен.
Чтобы проще троянов засаживать.
Да, логи ненужны, конфиги тоже менять незачем.У вас васянов примерно так и обстоит.
/etc, /usr/local/etc, /var/log, /var можете смонтировать RW. ДА и вообще нахрен шлюзу локальный HDD, вполне можно грузить его через PXE.
Спасибо, но я без твоего разрешения обойдусь. То есть ридонли у тебя не получилось даже в кастрированном варианте без обновлений и дополнительных пакетов. Следующая остановка: а если все равно надо что-то монтировать rw, то какая там должна быть fs? И почему бы ей не быть одной одинаковой на всю систему, а не как у некоторых л@п4ых две разных сложных fs в одной?Потому что pfsense не совсем про шлюх, она про экран. Нет, их обычно принято изолировать а не завязывать на уязвимые сервисы. Скорее уж покажется разумным именно на нее поставить pxe сервис для остальных.
> Спасибо, но я без твоего разрешения обойдусь. То есть ридонли у тебя
> не получилось даже в кастрированном варианте без обновлений и дополнительных пакетов.pfSence у меня вообще не получилось, оно какое-то заумное внутри. Мне проще без надстроек-прослоек настроить чистую Фряху, скомпилировав урезанное ядро и мир под тип процессора на роутере и скомпилировав нужные пакеты. Поэтому в *Sence давно не заглядывал.
> Следующая остановка: а если все равно надо что-то монтировать rw, то
> какая там должна быть fs? И почему бы ей не быть
> одной одинаковой на всю систему, а не как у некоторых л@п4ых
> две разных сложных fs в одной?Ну вероятно она должна быть например NFS, если у нас сетевая загрузка?
> Потому что pfsense не совсем про шлюх, она про экран. Нет, их
> обычно принято изолировать а не завязывать на уязвимые сервисы. Скорее уж
> покажется разумным именно на нее поставить pxe сервис для остальных.pxe на шлюх? Батенька, ну вы истинный оригнал! Я ещё понимаю, что бы pxe для всех сделать например на парочке внутренних серверов, херачащих в связке с помощью carp/hastd, раз уж мы так боимся отказов, но поставить pxe на шлюз....
Ты зачем внутрь-то полез, если ума не хватает? Там надо просто пару кликов в нескучном интерфейсе - большую часть потребностей не самых маленьких даже контор оно при этом вполне способно покрыть. Без твоих ручных ковыряний.> Мне проще без надстроек-прослоек настроить чистую Фряху, скомпилировав урезанное ядро и мир под
> тип процессора на роутере и скомпилировав нужные пакеты.это просто потому что ты - не работаешь. Иначе тратить время на ненужное ненужно тебе бы просто не позволили. Пока у тебя там "компилируется", хороший таджик наколет камней на новую комнату в своем доме.
Отдельный вопрос - а сколько теперь времени у тебя займет написать грамотную документацию на то, как и что необычного ты там накомпилировал, чтобы если тебя завтра придется, с глубоким сожалением, но все же утрамбовать в подвале в бетонную ямку среди десятка таких же предшественников, следующий мог с того же места подхватить и продолжить, а не тратил бы неделю на реверс-инжиниринг что ты там придумал и зачем бы мог это сделать?
А использовал бы стандартные системы - конфиг вытаскивается в один клик, и можно бульдозером разравнять электронный ландшафт - новая точно такая же ставится еще в два десятка кликов. И работает точно так же, вот в чем прикол.
> Ну вероятно она должна быть например NFS, если у нас сетевая загрузка?
Вероятно сетевая загрузка нах не нужна.
> Ты зачем внутрь-то полез, если ума не хватает? Там надо просто пару
> кликов в нескучном интерфейсе - большую часть потребностей не самых маленьких
> даже контор оно при этом вполне способно покрыть. Без твоих ручных
> ковыряний.Дык у меня на гуевозку ума не хватает на пару кликов, мне проще сразу как правильно, а не как там кликнется в голову автору гуевозки. Ну а большую часть потребностей контор покроет шлюха по вызову с шлюзом-мыльницей.
>> Мне проще без надстроек-прослоек настроить чистую Фряху, скомпилировав урезанное ядро и мир под
>> тип процессора на роутере и скомпилировав нужные пакеты.
> это просто потому что ты - не работаешь. Иначе тратить время на
> ненужное ненужно тебе бы просто не позволили. Пока у тебя там
> "компилируется", хороший таджик наколет камней на новую комнату в своем доме.Мне не очень интересно, чего там таджик наколет, пусть колет, у мню их тут много было, ненакололи. По поводу времени: я вообще-то базы данных разрабатываю, а это баловство так, для развлечения от монотонности или когда таджик под наколотыми камнями слёг, а надо чтобы работало. Пока там у меня компилируется, я могу и по основному профилю поразвлекаться. Ну или посмотреть тут "В мире животных".
> в подвале в бетонную ямку среди десятка таких же предшественников, следующий
> мог с того же места подхватить и продолжить, а не тратил
> бы неделю на реверс-инжиниринг что ты там придумал и зачем бы
> мог это сделать?А зачем шлюз документировать, кроме как данные от провайдера записать? Это для него входной экзамен, а в общих чертах я таджику обрисовываю, что там понаделано. Не разобрался - в биоректор нах! Не умеет это - пусть умеет по своему.
> А использовал бы стандартные системы - конфиг вытаскивается в один клик, и
> можно бульдозером разравнять электронный ландшафт - новая точно такая же ставится
> еще в два десятка кликов. И работает точно так же, вот
> в чем прикол.А зачем нужны бездумные долбоящеры, которые способны только чужой конфиг с один клик скопировать? Мне сисадмин нужен, а не "оператор сервера".
> Спасибо, но я без твоего разрешения обойдусь. То есть ридонли у тебя
> не получилось даже в кастрированном варианте без обновлений и дополнительных пакетов.
> Следующая остановка: а если все равно надо что-то монтировать rw, то
> какая там должна быть fs? И почему бы ей не быть
> одной одинаковой на всю систему, а не как у некоторых л@п4ых
> две разных сложных fs в одной?
> Потому что pfsense не совсем про шлюх, она про экран. Нет, их
> обычно принято изолировать а не завязывать на уязвимые сервисы. Скорее уж
> покажется разумным именно на нее поставить pxe сервис для остальных.А у тебя ума походу не хватило додуматься, что все в процессе -o rw можно перемонтировать, когда надо что-нибудь исправить?
>Потому что pfsense не совсем про шлюхА блэкджек-то хоть есть? Иначе зачем такая ОС нужна?
Такая ОС нужна. Есть преферанс с девами заниженной социальной ответственность. Коллега просто не постиг еще этих глубин. Хотя если говорить "про" вместо "о", то возможно минует его чаша сия.
А вполне может и быть. В смысле - блэкджек-не-блэкджек, но hangman в ядерной консоли когда-то был. Как минимум в open, но скорее всего он из 4Lite ко всем пришел одинаковый.То есть когда ведро у тебя шмякалось, и починить не удавалось, можно было с горя хотя бы повеситься не отходя от кассы.
Интересно, сохранилась фича где-то или нет.
лучше бы wireguard вернули в базу, с плагинами возиться не хочется
В апреле ожидаем freebsd 13.1 с ядреной имплементацией. Там и pfsense подтянется.По сабжу новости, не оч понимаю для чего на пгавославном гейте zfs. Это скорее для зюзерутеров фича.
Проекту долгих лет! Маст хев.
Не видел в pfSenseCE, но сейчас посмотрел - pfSense Plus в базе есть, правда в описании написано "This package is EXPERIMENTAL".
подскажите а unbound или dnsmasq не умеют добавлять записи файерволла списки (tables) в freebsd? dnsmasq и ( и вроде unbound) умеют в линуксе с ipset, оч полезная штука...