pfSense 2.1-RELEASE - IPv6 támogatás!

FreeBSD

Chris Buechler ma bejelentette a FreeBSD-alapú router/tűzfal megoldás, a pfSense 2.1-es kiadását. A változások listája meglehetősen nagy. A legnagyobb változás a sokak által várva várt IPv6 támogatás.

Részletek a bejelentésben.

( Ritter | 2013. 09. 15., v – 21:11 )

Ebből csak pc-re létezik telepíthető változat vagy routerekre is van?

Ha a fogyasztástól eltekintünk? Esetleg az ára, amennyiben újonnan vásárolod és nem a régi, levedlett vasat használod el routernek. Bár... Egy so so használható Tp-Link WDR4300-ast megkapsz mondjuk húszezerért, a használt PC-be meg kell minimum egy wifi kártya, megfelelő antennákkal, esetleg egy switch, ha ethernetről is használnád a hálózatot és máris többe van, mint az említett példány.

Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Lehet, hogy hülyeséget kérdezek, de a kártyához mi köze a pfsense-nek?
BSD-ben kevésbé vagyok otthon, mint linux-ban, de valahogy úgy érzem, egy packet filter (pfsense az kb. a linux netfilternek felel meg, nem?) független kellene, hogy legyen a hardvertől.

Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

3 csomagszűrő is van a FreeBSD-ben. Pf amit az OpenBSD-ből portoltak, ipfw ami a FreeBSD natív (saját fejlesztésű) csomagszűrője, és a Darren Reed féle ipfilter. Namost ebből a Pfsense használja a Pf-et csomagszűrésre, továbbá az ipfw-t is a limiterekhez (dummynet).

Egyébként a FreeBSD-ben és így aztán a Pfsense-ben is egy nagyon régi (4.5-ös OpenBSD-ből) PF-van még a NAT átírás előtti időkből sajnos. Így aztán egy csomó minden másképp működik (pl. match keyword nincs), persze ezt a Pfsense felülete elfedi előled.

De pl. ipv6 fragment kezelés nincs és így aztán a scrubbing sem működik ipv6-al.

Gyári Pf-hez nincsenek kernel módú NAT helperek a több csatornás vagy L7 infót igénylő protokollokhoz by design. Azt mondják használd a divert-to, reply-to facility-t és userspace proxykat (pl ftp-proxy,tftp-proxy). Nem akarják a komplexitást és a hibákat levinni a kernelbe (pl. egy komplett sip hivásfelépítésből kiszedni a NAT infót kernel térben eléggé error prone). Érdekes összefüggés, hogy mostanában a netfilter(iptables) is errefelé tart. Lásd
http://lwn.net/Articles/500196/

De a probléma megoldása nem mindig triviális, jó példa erre a pptp/gre helper (ami nincs pf-ben szintén :)), ahol kernel support nélkül a caller id-t nehéz lekezelni.

Szóval igen a siproxd-n kívül nem tudok más megoldásról.

Rosszul látod, bár hogy mennyire működnek, azt nem teszteltem:

$ ls -1 /usr/lib/libalias*a
/usr/lib/libalias.a
/usr/lib/libalias_cuseeme.a
/usr/lib/libalias_dummy.a
/usr/lib/libalias_ftp.a
/usr/lib/libalias_irc.a
/usr/lib/libalias_nbt.a
/usr/lib/libalias_pptp.a
/usr/lib/libalias_skinny.a
/usr/lib/libalias_smedia.a

Mondjuk nyilván a libalias és a dummy nem érdekes. Mondjuk a többit mg ritkán használják, de jó lehet :-) Először az smedia-ban bíztam, de nem az ami nekem kell.

Sorry, itt volt egy "apró" félreértés részemről: úgy emlékeztem, a pfSense a BSD packet filter elnevezése, a'la netfilter a linux-ban.
Ha tudom, hogy ez egy komplett op.rendszer, akkor csöndben maradok. :)

Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Az egyik Linux, a másik FreeBSD alapú. Technikai szempontból ez lényeges különbség.

A felhasználói felületek nyilván eltérőek. A szolgáltatások listáját pedig össze tudod hasonlítani itt:

http://www.pfsense.org/index.php@option=com_content&task=view&id=40&Ite…

http://www.ipcop.org/1.4.0/en/install/html/features.html

--
trey @ gépház