Pfsense аналоги на linux

Обновлено: 06.07.2024

В статье будет рассмотрено несколько дистрибутивов специально заточенных для задач маршрутизации.

1) Vyatta

2) m0n0wall

Мини-дистрибутив на базе FreeBSD 6.4 для создания сетевых шлюзов. Дистрибутив снабжен простым и удобным web-интерфейсом для настройки всех параметров системы, поддерживает сохранение всей конфигурации в виде единого XML файла. Из функций можно отметить: поддержка работы в качестве беспроводной точки доступа, 802.1Q VLAN, firewall, NAT, ограничение трафика, мониторинг трафика с генерацией SVG графиков, SNMP-агент, DNS cache, DynDNS клиент, IPSec, клиент/сервер для PPTP VPN, PPPoE, 802.1Q VLAN, DHCP.

3) pfSense

Для организации совместного доступа в Сеть и защиты внутренних ресурсов администраторы со стажем предпочитают использовать специализированные мини-дистрибутивы, построенные на базе урезанных версий Linux или BSD. C их помощью можно легко превратить маломощный комп в надежный маршрутизатор. К подобным решениям как раз и относится pfSense.
Этот проект был начат в 2004 году, как ответвление от проекта m0n0wall для встроенных систем, ориентированное на полную установку на ПК. Также pfSense предлагает встроенные образы для установки на Compact Flash, однако это не является основным направлением.
Дистрибутивы для полной установки на ПК доступны в виде LiveCD образов объемом 55-65 Mb. При загрузке с LiveCD диска уже доступна полнофункциональная рабочая система. При этом конфигурацию возможно сохранить на флопи-диск для восстановления при следующей загрузке. К ограничениям в режиме LiveCD относится отсутствие возможности установки пакетов Packages. Для их использования необходимо установить систему с LiveCD на жесткий диск.

4) Alpine Linux

5) IPFire

IPFire отличается предельно простым процессом установки и организацией настройки через интуитивно понятный web-интерфейс, изобилующий наглядными графиками. Размер установочного iso-образа составляет всего 67 Мб. Для установки дополнений в IPFire используется специальный пакетный менеджер Pakfire.

Система модульная, кроме базовых функций пакетной фильтрации и управления трафиком для IPFire доступны модули с реализацией системы для предотвращения атак на базе Snort, для создания файлового сервера (Samba, FTP, NFS), почтового сервера (Cyrus-IMAPd, Postfix, Spamassassin, ClamAV и Openmailadmin) и сервера печати (CUPS), организации VoIP шлюза на базе Asterisk и Teamspeak, создания беспроводной точки доступа, организации потокового аудио и видео-сервера (MPFire, Videolan, Icecast, Gnump3d, VDR).

6) Untangle Gateway

7) BSD Router Project

Основан на FreeBSD 8.2 и предназначен для создания компактных программных маршрутизаторов, поддерживающих широкий спектр протоколов, таких как RIP, OSPF, BGP и PIM. Размер загрузочного образа составляет всего 18 Мб. Дистрибутив может работать на системах с 128 Мб ОЗУ и накопителях, размером 256 Мб. BSDRP не поддерживает web-интерфейс, всё управление производится в режиме командной строки через CLI-интерфейс, напоминающий Cisco.

Основные характеристики дистрибутива:

  • В комплект входят три пакета с реализацией поддержки протоколов маршрутизации:
      : BGP, RIP, RIPng, OSPF v2, OSFP v3 и ISIS; : BGP, RIP, RIPng , OSPF v2 и OSFP v3;
    • mrouted 3.9.5: поддержка протокола мультикаст-маршрутизации DVMRP (Distance Vector Multicast Routing Protocol);

    Обзор ОС’ов для роутера : 2 комментария

    может вы этим и не занимаетесь, но нужен совет по работе untangle, если можете помочь, буду признателен


    Насколько безопасна ваша сеть? Используете ли вы файрвол для защиты вашей сетевой инфраструктуры?

    Ранее я писал об управляемых облачных файрволах и получил предложение написать о бесплатных файрволах или файрволах с открытым исходным кодом.


    Вот, пожалуйста!

    Следующие бесплатные файрволы отличаются от файрволов веб-приложений. Они служат для защиты инфраструктуры, а не кода или приложения.

    1. pfSense

    Это решение для обеспечения безопасности с открытым исходным кодом на основе ядра FreeBSD. pfSense – это один из ведущих сетевых файрволов с коммерческим уровнем функционала.

    pfSense доступно как оборудование, виртуальное устройство и загружаемый исходник (общая версия).


    Бесплатно вы получаете общую версию.

    Мне нравится их исчерпывающая документация, хорошо понятная и простая в использовании. Вот некоторые из значимых упоминаемых особенностей pfSense:

    • файрвол — фильтрация IP/портов, ограничение соединений, работа на канальном уровне, нормализация пакетов;
    • таблица состояний — по умолчанию все правила находятся в отслеживаемом состоянии, множественные конфигураций подходят для обработки состояний;
    • серверная балансировка нагрузки — встроенный балансировщик нагрузки для ее распределения между несколькими серверами;
    • NAT (преобразование сетевых адресов) — переадресация портов, отражение;
    • HA (высокая доступность) — переход на вторичный сервер, если основной дал сбой;
    • мульти-WAN (глобальная компьютерная сеть) – использование более чем одного интернет-соединения;
    • VPN (виртуальная частная сеть) — поддержка IPsec и OpenVPN;
    • создание отчетов – сохранение информации об использованных ресурсах;
    • мониторинг – мониторинг в режиме реального времени;
    • динамический DNS – включено несколько DNS-клиентов;
    • поддержка DHCP Relay.

    Поразительно, не так ли?

    Кроме того, у вас также есть возможность устанавливать пакеты всего одним щелчком мыши.

    • безопасность — stunner, snort, tinc, nmap, arpwatch;
    • мониторинг – iftop, ntopng, softflowd, urlsnarf, darkstat, mailreport;
    • создание сети — netio, nut, Avahi;
    • маршрутизация — frr, olsrd, routed, OpenBGPD;
    • обслуживание — iperf, widentd, syslog-ng, bind, acme, imspector, git, dns-server.

    2. IPFire

    IPFire основан на Netfilter и ему доверяют тысячи компаний по всему миру.


    IPFire можно использовать как файрвол, прокси-сервер или VPN-шлюз — все зависит от того, как вы настроите его. Он обладает большой гибкостью в настройках.

    IDS (система обнаружения вторжений) является встроенной, поэтому атаки обнаруживаются и предотвращаются с самого начала, а с помощью дополнения Guardian вы можете осуществлять автоматическую профилактику.

    Вы сможете понять как работать с IPFire менее чем за 30 минут. Прочитать больше о его возможностях можно здесь.

    3. OPNSense

    OPNSense является ответвлением pfSense и m0n0wall. Графический интерфейс доступен на нескольких языках, таких как французский, китайский, японский, итальянский, русский и др.


    OPNSense обладает многими серьезными уровнями безопасности и функциями файрвола, такими как IPSec, VPN, 2FA, QoS, IDPS, Netflow, Proxy, Webfilter и т.д.

    Он совместим с 32-битной или 64-битной системной архитектурой и доступен для загрузки как ISO-образ и USB-установщик.

    4. NG Firewall

    NG Firewall от Untangle — это единая платформа, где вы можете получить все необходимое для защиты сети своей организации.


    Он обладает красивой панелью инструментов, попробовать демо-версию можно здесь. Он работает как магазин приложений, где вы можете запускать или отключать отдельные приложения (модули) в соответствии со своими потребностями.

    В бесплатной версии вы получаете доступ к самой платформе NG Firewall, бесплатные приложения и 14-дневную пробную версию платных функций.

    5. Smoothwall

    Smoothwall express — это бесплатное решение с простым веб-интерфейсом для настройки и управления файрволом.


    Smoothwall express поддерживает LAN (локальную сеть), DMZ (демилитаризованную зону), внутренний и внешний сетевой файрвол, веб-прокси для ускорения, статистику трафика и др.
    Выключение или перезагрузка возможны непосредственно через веб-интерфейс.

    Примечание: Следующие две программы предназначены только для серверов Linux.

    6. ufw

    ufw (несложный файрвол) работает с Ubuntu. Для управления системой фильтрации пакетов ядра Linux (Netfilter) он использует интерфейс командной строки.

    7. csf

    csf (ConfigServer security) протестирован и поддерживается на следующих ОS и виртуальных серверах:

    • RHEL/CentOS
    • CloudLinux
    • Fedora
    • OpenSUSE
    • Debian
    • Ubuntu
    • Slackware
    • OpenVZ
    • KVM
    • VirtualBox
    • XEN
    • VMware
    • Virtuozzo
    • UML

    Я надеюсь, что вышеперечисленные бесплатные решения для файрвола помогут вам сэкономить деньги и защитить вашу инфраструктуру от взлома.

    В данной статье пойдет речь о бесплатных межсетевых экранах, которые отличаются от своих «родственников» в сфере веб-приложений. Они предназначены для защиты инфраструктуры, а не определенного кода или приложения.

    По статистике, миллионы данных крадутся или считаются утерянными каждый день.

    Насколько безопасна сеть, которую использует человек? Активен ли межсетевой экран, обеспечивающий защиту сетевой инфраструктуры?

    1. pfSense

    Решение для обеспечения безопасности с открытым исходным кодом и пользовательским ядром на базе ОС FreeBSD. pfSense является одним из ведущих межсетевых экранов для коммерческих целей. Он доступен в виде аппаратного устройства, виртуальной машины и загружаемого двоичного файла (многопользовательская версия)

    Бесплатным является последний вариант.

    Из преимуществ можно выделить подробное описание условий использования и простота применения. Характерные особенности pfSense включают в себя:

    • Межсетевой экран — фильтрация IP / портов, ограничение соединений, поддержка приема и передачи данных, клининг.
    • Таблица состояний – по умолчанию все правила являются статусными, доступно несколько конфигураций для обработки состояний.
    • Балансировка нагрузки на сервер – встроенный LB, который способен распределить нагрузку между несколькими бэкендами сервера.
    • NAT (трансляция сетевых адресов) — переадресация и отражения портов.
    • HA (возможность обеспечения бесперебойной работы) — переход на вторичный ресурс при отказе работы первичного.
    • Multi-WAN (глобальная вычислительная сеть) – возможность использовать более одного подключения к интернету.
    • VPN — поддержка IPsec и OpenVPN.
    • Отчетность – пользователь способен хранить информацию о посещенных и использованных ресурсах.
    • Мониторинг в реальном времени.
    • Динамический DNS – использование нескольких DNS-клиентов одновременно.
    • Ретрансляция и DHCP .

    Функции межсетевого экрана, которые предоставляются бесплатно.

    Кроме того, у пользователя также есть возможность устанавливать пакеты всего одним щелчком мыши. Например:

    • Безопасность — stunner, snort, tinc, nmap, arpwatch
    • Мониторинг — iftop, ntopng, softflowd, urlsnarf, darkstat, mailreport
    • Сеть – netio, nut, Avahi
    • Маршрутизация — frr, olsrd, routed, OpenBGPD
    • Услуги – iperf, widentd, syslog-ng, bind, acme, imspector, git, dns-server.

    pfSense действительно выглядит многообещающе и заслуживает внимания. О хостинге подробнее можно прочитать, перейдя по ссылке .

    2. IPFire

    IPFire был разработан на основе межсетевого экрана Netfilter и уже завоевал доверие тысячи компаний по всему миру.

    IPFire

    В некотором смысле, в Linux есть брандмауэр, встроенный прямо в ядро. Тем не менее, он не самый удобный в использовании.

    Существует несколько графических утилит, которые могут помочь вам управлять им, но его защита ограничена вашей установкой Linux. А как насчет других устройств в вашей сети?

    Независимо от того, являетесь ли вы домашним пользователем или руководите малым предприятием, скорее всего, у вас есть несколько устройств, подключенных к Интернету. Помимо компьютеров, довольно часто в учреждениях любого размера имеется множество IoT-устройств, которые также необходимо защитить от злоумышленников в Интернете.

    Выделенный брандмауэр стоит между Интернетом и проверяет весь трафик, прежде чем он достигнет вашей внутренней сети.

    Хотя для установки такого брандмауэра с нуля требуется определенный навык, существует несколько специализированных дистрибутивов, которые помогут вам легко установить выделенный брандмауэр.

    1. IPFire

    IPFire

    Простой в использовании брандмауэр с некоторыми суперпродвинутыми функциями.

    Помимо функций межсетевого экрана, IPFire также обладает возможностями обнаружения и предотвращения вторжений, а также может быть использован для предоставления возможностей VPN. Дистрибутив также может быть расширен с помощью удобного набора дополнений для придания ему дополнительных функций.

    2. OPNsense

    Форк оригинального проекта pfSense, ориентированный на безопасность

    OPNsense

    OPNSense является результатом усилий двух существующих проектов с открытым исходным кодом, а именно pfSense и m0n0wall.

    Вместо Linux, OPNsense работает на базе HardenedBSD, которая представляет собой ориентированный на безопасность форк FreeBSD. Дистрибутив предназначен для использования в качестве межсетевого экрана и платформы маршрутизации и, помимо фильтрации трафика, может использоваться для отображения captive portal, шейпинга трафика, обнаружения и предотвращения вторжений, а также для настройки виртуальной частной сети (VPN) и многого другого.

    Стремясь своевременно реагировать на угрозы, дистрибутив брандмауэра предлагает еженедельные обновления безопасности. Одной из лучших особенностей OPNsense является то, что он раскрывает все свои функциональные возможности благодаря веб-интерфейсу, который очень удобен в использовании и доступен на нескольких языках.

    OPNsense реализует сетевой экран с контролем состояния и позволяет пользователям группировать правила брандмауэра по категориям, что, согласно веб-сайту компании, является удобной функцией для более требовательных сетевых настроек.

    Брандмауэр использует систему предотвращения вторжений Inline Intrusion Prevention System. Это мощная форма глубокой проверки пакетов, при которой вместо простой блокировки IP-адреса или порта, OPNsense может проверять отдельные пакеты данных или соединения и при необходимости останавливать их до того, как они достигнут отправителя.

    3. pfSense

    Многофункциональный брандмауэр и маршрутизатор на базе FreeBSD

    pfSense

    pfSense позиционирует себя как самый надежный брандмауэр с открытым исходным кодом. Оригинальный дистрибутив брандмауэра на базе FreeBSD, pfSense имеет много общих черт с OPNsense. Например, помимо того, что он является мощной, гибкой платформой для межсетевого экранирования и маршрутизации, он включает длинный список сопутствующих функций. Для начала, как и в OPNsense, вы можете использовать pfSense для развертывания системы предотвращения вторжений, а также для включения VPN-доступа.

    Кроме того, как и все аналоги, pfSense можно полностью управлять с помощью интуитивно понятного веб-интерфейса. В отличие от большинства аналогов, pfSense доступен в виде аппаратного устройства, виртуального устройства и загружаемой версии для сообщества.

    Благодаря своей богатой истории, pfSense, возможно, имеет самую обширную документацию и одно из самых больших сообществ пользователей, которые публикуют учебные пособия и видео на своих официальных каналах поддержки, а также в других местах в Интернете. Кроме того, коммерческие разработчики дистрибутива предлагают платные учебные курсы, которые помогут вам наилучшим образом использовать развертывание pfSense.

    4. ClearOS

    Хорошо продуманный дистрибутив, который очень прост в использовании

    ClearOS

    Существует несколько редакций ClearOS, включая поддерживаемую сообществом редакцию, которая предлагается для бесплатной загрузки. Вы можете использовать редакцию ClearOS для развертывания всех видов сетевых служб, включая брандмауэр с функциями фильтрации содержимого и обнаружения вторжений.

    После установки вы можете управлять своим брандмауэром на базе ClearOS с помощью веб-интерфейса. Интерфейс администрирования интуитивно понятен в использовании и поможет вам не только настроить и контролировать ваш брандмауэр, но также может быть использован для настройки нескольких других сетевых служб с помощью нескольких щелчков мыши.

    5. OpenWRT

    Брандмауэр для маршрутизаторов

    OpenWRT

    OpenWRT немного отличается от большинства в этом списке, поскольку это брандмауэр, разработанный специально для использования в маршрутизаторах и сетях. Это означает, что он не предназначен для обычных домашних пользователей, желающих просто установить новый брандмауэр на свой компьютер, а для опытных пользователей, сетевых энтузиастов и разработчиков беспроводных устройств.

    Он также имеет удивительно приличный графический интерфейс и предлагает ряд дополнительных пакетов в своем репозитории, позволяющих настроить OpenWRT различными способами для всех видов использования. Несмотря на всю свою гибкость, OpenWRT по-прежнему является одним из наименее требовательных дистрибутивов и работает быстро.

    Подскажите пожалуйста нормальный дистрибутив с большим количеством настроек, но не такой задротский как МикротикОС или как там ее. Что-то типа ddwrt, но возможно чуть более сложного уровня.

    На базе Linux или BSD - пофигу. Ну и желательно вкратце обосновать, почему именно этот.


    Спс. Есть кстати два, pfSense и форкнутый с него OPNsense. Знаете разницу ? Или лучше потыкать палочкой в виртуалбоксе ?


    Хз, на мой взгляд принципиальной разницы не вижу. Потыкать в любом случае необходимо внезависимости от. В частности потому, что PF это не Netfilter и сходу после RouterOS может быть непривычно.


    Увы. У меня x86-железка, а там только на MIPS.



    Не. Эти *wrt не нужны. Для начала пусть их Luci научится конфигурить PPPOE и вафлю в два клика.


    PfSense установился за 4 минуты двумя нажатиями Enter. Круто.


    Микротик 751U-2HnD дохнет и уходит в ребут после примерно полутора тысяч одновременных подключений

    покажи скрин правил фаервола, поржать


    вкладка Filter Rules?

    Вроде хорош. При установке просит указать конфиги сети, GREEN, ORANGE итд. Но у меня на целевой железке нет видеовыхода. То есть ставить я буду на обычном локальном компьютере на тот SSD, который после установки перенесу на целевую железку.



    Ахринеть мощная железка. Ставь деб, он штабилен. Или центю, она тоже нерушима.

    С полность забитым торрентами 100-мегибитным каналом у меня справляется п2-400. Железки хватит с избытком.


    system-root ★★★★★ ( 14.04.17 00:35:26 )
    Последнее исправление: system-root 14.04.17 00:37:17 (всего исправлений: 1)


    Не. Эти *wrt не нужны. Для начала пусть их Luci научится конфигурить PPPOE и вафлю в два клика.

    Мда. Оно вообще не собралось видимо что я нигде не хочу ipv6.

    может он у тебя бракованный или греется? нафига годную x86 под роутер отдавать?

    Работал (и сейчас работает) нормально до тех пор пока не посадил к себе домой клиента которого школоддосят. Опять же, я в сетях не силен, но вчера Микротик стал отваливаться по этим сранным коннектам. при чем наглухо, в ребут. Судя по всему недостаток мозгов. Со всеми установленными пакетами и со штатными настройками (т.е. никаких форвардингов, сугубо домашняя вафля) - свободно порядка 7.99 мегабайт. Потом когда включил форвардинг 80-го порта, постепенно стало уменьшаться до трех, потом до полутора, потом я уже не смог наблюдать, роутер отвалился.

    Затем начался треш с DNS не знаю как это правильно называется, спуфингом. В общем Микротик в дауне, думаю дай ка я подключу эту коробку-сервер напрямую, гляну что там да как. Подключился к pppoe, и вот что я вижу:

    Идея - купить что-то более менее быстрое (или использовать мой Core i3\16Gb DDR4\256 Gb PCIE SSD) как сервер, а эту штуку поставить как роутер. Клиент платит $500 в месяц за такой хостинг. Основная идея - абюзоустойчивость.

    Ставь деб, он штабилен. Или центю, она тоже нерушима.

    Та то понятно, но мне не охота в 2017 году делать руками тривиальные задачи. Поэтому ищу что-то для домохозяек.


    Windows Server Vasyan Ultimate Pro XXX Edition Repacked

    Сразу и все работает)


    если у тебя днс наружу светит, а фаервол пустой, то может например дропать все входящие кроме 80 порта и icmp?

    У меня вообще DNS-а нет :)

    Читайте также: