pfSense 2.1-RELEASE - IPv6 támogatás!

 ( trey | 2013. szeptember 15., vasárnap - 16:11 )

Chris Buechler ma bejelentette a FreeBSD-alapú router/tűzfal megoldás, a pfSense 2.1-es kiadását. A változások listája meglehetősen nagy. A legnagyobb változás a sokak által várva várt IPv6 támogatás.

Részletek a bejelentésben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ebből csak pc-re létezik telepíthető változat vagy routerekre is van?

Nincs. i386 / amd64 fizikai gép és VMware virtuális gép appliance van belőle.

--
trey @ gépház

Egy PC a fogyasztását leszámítva jobb router mint egy szokványos soho router?

Stabilabb mint egy openwrt.
És pl. egy Alix nem eszik olyan sokat.

Van ilyen gépem a fiókban 1 GB ramos változat a fiókban. Ez megfelel hozzá?

Ha a fogyasztástól eltekintünk? Esetleg az ára, amennyiben újonnan vásárolod és nem a régi, levedlett vasat használod el routernek. Bár... Egy so so használható Tp-Link WDR4300-ast megkapsz mondjuk húszezerért, a használt PC-be meg kell minimum egy wifi kártya, megfelelő antennákkal, esetleg egy switch, ha ethernetről is használnád a hálózatot és máris többe van, mint az említett példány.


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Apropó wifi, hogyan áll a pci és usb wifi kártyák támogatásával a pfSense?

Lehet, hogy hülyeséget kérdezek, de a kártyához mi köze a pfsense-nek?
BSD-ben kevésbé vagyok otthon, mint linux-ban, de valahogy úgy érzem, egy packet filter (pfsense az kb. a linux netfilternek felel meg, nem?) független kellene, hogy legyen a hardvertől.


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

A pfsense gyakorlatilag egy teljes OS disztribúció, innentől kezdve maximálisan van értelme a hardverrel kapcsolatos kérdésnek...

Akkor nem szóltam...
:)
(akkor viszont utána kell néznem, mi a neve a FreeBSD belső packet filterének, mert esküdni mertem volna rá, hogy a pfsense annak a neve)


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Szerintem Packet Filterrel kevered. Azt OpenBSD-ből portolták FreeBSD-be. Ha jól olvasom innen jön a 'PF' a pfSense névnek az elején.

3 csomagszűrő is van a FreeBSD-ben. Pf amit az OpenBSD-ből portoltak, ipfw ami a FreeBSD natív (saját fejlesztésű) csomagszűrője, és a Darren Reed féle ipfilter. Namost ebből a Pfsense használja a Pf-et csomagszűrésre, továbbá az ipfw-t is a limiterekhez (dummynet).

Egyébként a FreeBSD-ben és így aztán a Pfsense-ben is egy nagyon régi (4.5-ös OpenBSD-ből) PF-van még a NAT átírás előtti időkből sajnos. Így aztán egy csomó minden másképp működik (pl. match keyword nincs), persze ezt a Pfsense felülete elfedi előled.

De pl. ipv6 fragment kezelés nincs és így aztán a scrubbing sem működik ipv6-al.

SIP-et lehet vele NAT-olni? Speciel én erre nem találtam (FreeBSD alatt) megoldást, mert a natd-hez csak kereséseket találtam, de igazán használható válaszokat nem. (Illetve mintha mindenki siproxd-t emlegetne.)

Gyári Pf-hez nincsenek kernel módú NAT helperek a több csatornás vagy L7 infót igénylő protokollokhoz by design. Azt mondják használd a divert-to, reply-to facility-t és userspace proxykat (pl ftp-proxy,tftp-proxy). Nem akarják a komplexitást és a hibákat levinni a kernelbe (pl. egy komplett sip hivásfelépítésből kiszedni a NAT infót kernel térben eléggé error prone). Érdekes összefüggés, hogy mostanában a netfilter(iptables) is errefelé tart. Lásd
http://lwn.net/Articles/500196/

De a probléma megoldása nem mindig triviális, jó példa erre a pptp/gre helper (ami nincs pf-ben szintén :)), ahol kernel support nélkül a caller id-t nehéz lekezelni.

Szóval igen a siproxd-n kívül nem tudok más megoldásról.

Egyébként ipfw-hez létezik a libalias framework, amihez elvben egyszerűen lehet kernel módú helpereket fejleszteni, de ha jól látom a klasszikus ftp-n kívül más nem nagyon van hozzá.

Rosszul látod, bár hogy mennyire működnek, azt nem teszteltem:

$ ls -1 /usr/lib/libalias*a
/usr/lib/libalias.a
/usr/lib/libalias_cuseeme.a
/usr/lib/libalias_dummy.a
/usr/lib/libalias_ftp.a
/usr/lib/libalias_irc.a
/usr/lib/libalias_nbt.a
/usr/lib/libalias_pptp.a
/usr/lib/libalias_skinny.a
/usr/lib/libalias_smedia.a

Mondjuk nyilván a libalias és a dummy nem érdekes. Mondjuk a többit mg ritkán használják, de jó lehet :-) Először az smedia-ban bíztam, de nem az ami nekem kell.

Na legalább pptp van közte.

Ha egyáltalán nem támogatja a wifi kártyát akkor azzal nehezen fog wifi AP-t működtetni. Az már a második kérdéskör, hogy melyik wifi kártya alkalmas infrastructure mode működésre?

Sorry, itt volt egy "apró" félreértés részemről: úgy emlékeztem, a pfSense a BSD packet filter elnevezése, a'la netfilter a linux-ban.
Ha tudom, hogy ez egy komplett op.rendszer, akkor csöndben maradok. :)


Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Ezek közül melyik alkalmas infrastructure mode működésre?
Mert nem mindegy, hogy wifi-n kapja csak vagy wifi-n osztja a netet. Az ad-hoc mode pedig nem szerencsés.

Inkább firewall, mintsem SOHO eszköz. UTM-et viszont csak korlátozottan, nehezen lehet vele csinálni. Amit tud azt rendkívül stabilan és biztosan teszi, amit csomagból kell felrakni az függ a csomagolótól, de a legtöbb parádés minőségű.

Miben jobb? Mindenben!

Az IPCop hasonló router/tűzfal megoldás az oldala alapján mint a pfSense. Miben különbözik? Miben más/rosszabb/jobb?

Az egyik Linux, a másik FreeBSD alapú. Technikai szempontból ez lényeges különbség.

A felhasználói felületek nyilván eltérőek. A szolgáltatások listáját pedig össze tudod hasonlítani itt:

http://www.pfsense.org/index.php@option=com_content&task=view&id=40&Itemid=43.html

http://www.ipcop.org/1.4.0/en/install/html/features.html

--
trey @ gépház

Csodálom, hogy Raspberry Pi-re még nem portolták. :-)

Mivel az RPi-n alapértelmezésben egy darab Ethernet csatlakozás van, én annyira nem.