pfSense - дистрибутив для создания роутера

[budda]

Знаю, что чуть ли не у каждого второго анлимщика есть аппаратный роутер или игрушка из старого железа. В умелых руках последнее предпочтительнее, так как его возможности будут ограничены только аппаратной производительностью, фантазией и опытом владельца.
Подзарядившись позитивом http://www.xakep.ru/post/46309/default.asp "На страже безопасности: pfSense - дистрибутив для создания роутера" из интереса на домашнем роутере поставил pfsense.
Крутится 3-ю неделю.
Вэб интерфейс однако замутили неплохой, все что нужно есть.
В консоли пока был пару раз из любопытства.
Пока впечатления положительные, такое ощущение, что рулишь аппаратным роутером типа длинка.
Неплохо работает шейпер (всетаки бсдя!) и приоретизация (можно выставлять 3 уровня).
Т.е примерно за час поднимаем роутер с шейпером и приоретизаций без ковыряния в iptables!
Имеются так же DNS, DHCP, VPN серверы, а так же подсчет трафика (freeradius), ну естественно настраивается фаервол и шейпер.
Кое какой фунционал касающийся серверного фунционирования можно доставить прямо из вэбморды.
Минусы: поскольку дистр заточен для роутера и ориентирован на раздачу инета отсутствует торент клиент (естественно можно доставить и работать в консоли с rtorrent), что не оч хорошо для домашнего функционала. Не обнаружил так же в вэб морде smb и nfs серверов.

[TIGR]

надо бы попробовать

[Henri]

Цитата:

Сообщение от budda

Знаю, что чуть ли не у каждого второго анлимщика есть аппаратный роутер или игрушка из старого железа. В умелых руках последнее предпочтительнее, так как его возможности будут ограничены только аппаратной производительностью, фантазией и опытом владельца.
Подзарядившись позитивом http://www.xakep.ru/post/46309/default.asp "На страже безопасности: pfSense - дистрибутив для создания роутера" из интереса на домашнем роутере поставил pfsense.
Крутится 3-ю неделю.
Вэб интерфейс однако замутили неплохой, все что нужно есть.
В консоли пока был пару раз из любопытства.
Пока впечатления положительные, такое ощущение, что рулишь аппаратным роутером типа длинка.
Неплохо работает шейпер (всетаки бсдя!) и приоретизация (можно выставлять 3 уровня).
Т.е примерно за час поднимаем роутер с шейпером и приоретизаций без ковыряния в iptables!
Имеются так же DNS, DHCP, VPN серверы, а так же подсчет трафика (freeradius), ну естественно настраивается фаервол и шейпер.
Кое какой фунционал касающийся серверного фунционирования можно доставить прямо из вэбморды.
Минусы: поскольку дистр заточен для роутера и ориентирован на раздачу инета отсутствует торент клиент (естественно можно доставить и работать в консоли с rtorrent), что не оч хорошо для домашнего функционала. Не обнаружил так же в вэб морде smb и nfs серверов.

Пробовал, прикольная штука, похожа на Dlink"овские творения

[TIGR]

опрометчиво я сказал про "надо использовать". глянул в минимальные требования и удивился что эта сборка нуждается в 128 метрах памяти!!! у меня сейчас на 48-и стоит бздя с шейпингом, торент-клиентом, хттп-сервером, фаерволом и др.

[Henri]

Цитата:

Сообщение от TIGR

опрометчиво я сказал про "надо использовать". глянул в минимальные требования и удивился что эта сборка нуждается в 128 метрах памяти!!! у меня сейчас на 48-и стоит бздя с шейпингом, торент-клиентом, хттп-сервером, фаерволом и др.

Это с запасом, что такое сейчас 128м памяти?
Кстати, выложите кто то как правельно правила в pfSense создавать, ну и желательно по-русски

[TIGR]

Цитата:

Сообщение от Henri

Это с запасом, что такое сейчас 128м памяти?
Кстати, выложите кто то как правельно правила в pfSense создавать, ну и желательно по-русски

это сборка для слабых машин! у меня роутер 100МГц пенёк - для 128 памяти это роскошь

[budda]

Запускаем в работу

На зеркалах, список которых доступен на странице загрузки продукта, выложены две версии pfSense: для встроенных устройств и LiveCD-Installer. Второй вариант более универсальный, поскольку может работать и как LiveCD, и устанавливаться на жесткий диск. Размер дистрибутива небольшой – всего 60 Мб.
Минимальные требования, предъявляемые к железу, следующие: компьютер с частотой процессора 100 МГц, 128 Мб оперативной памяти и диск объемом 1 Гб для установки системы. Для Embedded данные аналогичны, только для установки достаточно иметь 128 Мб флешку. Такой компьютер будет без проблем обслуживать 10-мегабитную сетку с необходимыми функциями, но при увеличении скорости или функций (например, подсчете трафика) требуется более мощное оборудование. При установке есть возможность выбрать ядро с поддержкой многопроцессорных систем, поэтому под роутер можно смело задействовать самый современный компьютер. Более конкретные требования для разных вариантов использования pfSense описаны на сайте проекта в документе «Hardware Sizing Guidance». Информацию о совместимом оборудовании можно найти в «FreeBSD 6.2 Hardware Compatibility List» на сайте FreeBSD.
Итак, записываем образ и загружаемся. Скрипты загрузки проанализируют имеющееся оборудование. После инициализации будет выведен список сетевых карт с предложением настроить VLAN-, LAN- и WAN- сетевые интерфейсы. Сначала идет VLAN:
Do you want to set up VLANs now [y|n]?
В принципе, если настройки сети известны, то VLAN можно задействовать прямо сейчас, нажав «y» и введя parent-интерфейс (список сетевух будет выведен повторно). Однако большинству пользователей будет удобнее при помощи консоли настроить лишь внутренний LAN-интерфейс. Остальные же сконфигурировать при помощи графического меню. Если выход в Сеть производится через PPPoE или PPTP, то из-за специфики веб-интерфейса придется в любом случае поднимать VLAN (в разделе «Настройка через веб» я покажу, как это сделать). На следующем шаге скрипт предложит ввести название LAN-интерфейса.
Enter a LAN interface name or `a` for autodetection: fxp0
Аналогично настраивается WAN и дополнительные (Optional) интерфейсы. Впоследствии вместо Optional им можно дать любое другое название (например, DMZ). Когда настройки закончены, нажимаем <Enter>. Скрипт выведет текущие настройки.
LAN -> fxp0
WAN -> fxp1
Подтверждаем установки нажатием «y» и ждем, пока загрузится система.
Do you want to processed [y|n]?y
Угадать имена при наличии двух одинаковых сетевых карточек без знания их МАС-адресов часто бывает тяжеловато. Поэтому, если что-то не работает, просто поменяй местами интерфейсы в настройках или переподключи провода. Если будет обнаружено только одно сетевое устройство, появится предупреждение о невозможности работы в режиме роутера.
Как и в m0n0wall, LAN-интерфейс автоматически получает адрес 192.168.1.1, а WAN – при помощи DHCP. После инициализации системы появится системное меню настройки pfSense, вверху которого отражены текущие установки Сети:
*LAN -> fxp0 -> 192.168.1.1
*WAN -> fxp1 -> 192.168.175.128(DCHP)
Когда IP-адрес интерфейса WAN назначается статически, то при определенных настройках Сети, после появления «Configuring WAN Interface», система как бы зависает, пытаясь получить нужный адрес. К сожалению, пропустить настройку WAN никак нельзя, придется подождать. Встречается такой «эффект» не всегда, но лучшим выходом, если что, будет отключение внешнего кабеля, тогда скрипт быстрее перейдет к следующему этапу.
После инициализации появляется меню, состоящее из 15 пунктов. Отсюда можно перезагрузить, остановить и обновить систему, сбросить настройки и пароль администратора веб-интерфейса, проверить доступность узла при помощи команды ping, просмотреть вывод pftop и журналы сервера, выйти в shell. Переназначить сетевые интерфейсы, можно выбрав пункт 1 – Assign Interfaces. После чего повторяем все шаги, описанные выше. Чтобы установить другой IP-адрес для LAN, нажимаем цифру 2 (Set LAN IP address). Затем последовательно вводим новый IP-адрес и сетевую маску. Последним вопросом будет:
Do you want to enable the DCHP server on LAN [y|n]?
Отвечаем, в зависимости от того, нужно сейчас запустить DHCP-сервер для раздачи адресов во внутренней сети или нет. По окончании настройки скрипт выводит IP-адрес, который нужно набирать в строке веб-браузера, чтобы получить доступ к веб-интерфейсу.
Под цифрой 99 находится пункт, позволяющий установить pfSense на жесткий диск. После установки он из меню исчезает. Кстати, дистрибутив необязательно устанавливать: если вставить дискету, при выключении все настройки будут сохранены на нее.
Установка pfSense на хард

Несмотря на то, что pfSense – это урезанная версия FreeBSD, его установка очень проста и не требует каких-либо специфических знаний системы. Мастер установки, появляющиийся после ввода 99 (Install pfSense to hard drive …), поможет произвести все необходимые действия. Но помни, все разделы на выбранном жестком диске будут уничтожены. При наличии некоторого опыта можно попробовать пристроить pfSense в качестве второй системы, но лучше для экспериментов использовать виртуальные машины, под которыми этот дистрибутив отлично работает (или другой винч). Сама установка занимает пять минут. Для записи настроек и перехода к следующему шагу выбираем «Accept these settings». Перейти к следующему пункту можно при помощи стрелок или табуляции.
В первом окне доступны настройки шрифта и раскладки клавиатуры. Отмечаем «Install pfSense». Сначала выбираем жесткий диск, на который будем устанавливать систему, и форматируем его (Format this disk). Скрипт проверяет геометрию диска и выводит результат – обычно нет необходимости что-либо здесь менять. Отмечаем «Use this geometry» и записываем таблицу разделов (Format ad0). Тут добрый мастер предложит произвести разметку. В Edit partition можно создать несколько слайсов. Варианта, предложенного мастером, вполне достаточно, поэтому выбираем «Accept and Create». Теперь надо выбрать слайс, на который будем устанавливать pfSense. Он у нас один – отмечаем и в следующем окне подтверждаем нажатием «ОК». После создания слайса программа предложит создать два раздела: корневой и swap (1024 Мб). При желании можно изменить разметку, после чего начнется копирование необходимых файлов на диск. В состав pfSense входит четыре ядра: для однопроцессорных и многопроцессорных систем, встроенных устройств (без драйверов VGA, клавиатуры и т.д.) и developer (с GDB). Выбираем нужное. Последний шаг – установка загрузчика. Затем последует перезагрузка. Дальнейшие настройки производятся уже через веб-интерфейс.

[budda]

Настройка через веб

Подключаться к pfSense можно пока только с LAN-интерфейса. Набираем его адрес в строке браузера. Для регистрации используем логин admin и пароль pfsense.
После успешного входа тебя встретит Setup Wizard, задача которого – упростить первоначальную настройку. В первом окне указываем имя и домен, к которому принадлежит компьютер, адреса DNS-серверов, настройки времени, часовой пояс и синхронизацию с сервером NTP. Что ж, приступаем к настройке WAN-подключения. Выбираем тип соединения: DHCP, статический, PPPoE или PPTP. Установка флажков «Block private networks» и «Block bogon networks» создаст правила, блокирующие подключение к WAN с адресов указанных сетей. Дальше, если хочешь, смени настройки LAN-интерфейса. На последнем шаге мастера меняем пароль админа. От услуг мастера можно отказаться и настроить все самостоятельно, – поступай, как тебе удобнее. Повторно мастер вызывается в System – Setup Wizard.
По окончании настройки все соединения из внутренних сетей будут разрешены. Правила NAT создаются автоматически (новички это оценят). Когда такие правила планируется создавать вручную, – нужно снять флажок «Disable NAT Reflection», который находится внизу страницы System – Advanced.
Интерфейс pfSense разбит на 7 основных вкладок: System, Interfaces, Firewall, Services, VPN, Status и Diagnostics. При выборе каждой откроются дополнительные подпункты. Для примера разберем некоторые настройки.
Если IP-адрес WAN-интерфейсу задается статически или динамически, то проблем с настройкой WAN не предвидится. Путаница возникает, когда к провайдеру нужно подключиться, используя PPPoE или PPTP. Как ты помнишь, pfSense поддерживает одно такое соединение, и настроить его можно только в Interfaces – WAN. Но где же тогда указывать настройки сетевого адаптера? В этом случае следует создать VLAN-интерфейс. Заходим в меню Interfaces – assign, переходим во вкладку VLANs и нажимаем <+>, чтобы создать новый интерфейс. Потом укажи настройки сетевой карты во VLAN, а в WAN – информацию о PPPoE.
Обязательно зайди в System – General setup! Здесь указываются: имя узла, адреса серверов DNS (если они не получаются через DHCP), имя пользователя и пароль администратора, а также – использование защищенного HTTPS при подключении через webGUI, порт для соединения, тема оформления, часовой пояс и сервер NTP.
По умолчанию сервер SSH отключен. Если вдруг планируется удаленное управление по этому протоколу, то переходим во вкладку System – Advanced и устанавливаем флажок Enable Secure Shell. Для повышения безопасности в поле SSH port можно указать отличный от 22-ого порт и активировать аутентификацию по ключу. Последний следует скопировать в поле Authorizedkeys. Во вкладке Advanced можно включить первый последовательный порт (это отключит видеокарту и клавиатуру), функцию Filtering Bridge; указать сертификаты для webGUI; включить балансировку соединений, traffic shaper и другие параметры.
Для настройки статической маршрутизации следует перейти в Static Routes и нажать <+>. В появившемся меню выбрать интерфейс и ввести адрес сети, шлюз и краткое описание.
Настройка правил межсетевого экрана и NAT производится в Firewall – Rules. Количество вкладок здесь равно числу используемых интерфейсов. По умолчанию весь локальный трафик разрешен: в LAN стоит правило «Default LAN -> any», а из WAN блокируется доступ только с адресов частных сетей (другими словами, входящие сетевые подключения с адресов из диапазонов 10/8, 172.16/12, 192.168/16 на внешний сетевой интерфейс запрещены). Правило NAT формируется автоматически (Automatic outbound NAT rule generation), поэтому сразу после установки pfSense исполняет роль маршрутизатора с фильтрацией пакетов.
Новое правило создается очень просто. Для этого не нужно обладать знаниями PF, достаточно представлять конечный результат. Выбирается значение параметра, предложенного конфигуратором (адрес/интерфейс источника и назначения, протокол, порт или диапазон, расписание и прочее), ошибиться здесь тяжело. Созданные правила можно расставлять по порядку. Обрати внимание на небольшой треугольник слева от правила. Если он зеленый – правило активно, если серый – нет.
Сначала создаем разрешающее правило, позволяющее соединяться удаленно через webGUI. Выбираем Add new rule и указываем в Action – Pass, Interface – LAN, Protocol – TCP. Поля Source и Destination в том случае, когда используется 80-ый порт, можно установить в Any, чтобы пользователи могли получить доступ к веб-ресурсам интернет. В Destination port устанавливаем HTTP. Аналогично настраивается доступ к остальным удаленным сервисам. По окончании настроек в поле Action правила «Default LAN -> any» меняем значение с Pass на Block или Reject. Не забудь, что правила работают до первого совпадения, поэтому запрещающий рулесет следует разместить последним, используя кнопки Move selected rule. По окончании всех настроек нажимаем кнопку Apply changes.
Во вкладке Firewall также можно задать псевдонимы (aliases), которые позволят упростить создание правил. При выборе пункта Traffic Shaper запустится мастер настройки. На первом шаге следует выбрать внешний и внутренний интерфейсы и указать скорость Download/Upload, а затем установить приоритет для VoIP-сервисов. В Penalty Box указываются адреса, трафик с которых будет идти с наименьшим приоритетом. Далее идут настройки ограничений для P2P-сетей, сетевых игр и остальных протоколов.
По ходу конфигурирования система выводит предупреждения вверху страницы. Обращай на них внимание: иногда требуется нажать кнопку/гиперссылку или перезагрузить компьютер, иначе настройки не вступят в силу.
Все не зря

Опыт показывает, что pfSense не зря пользуется популярностью и получает лестные отзывы IT-специалистов. Он прост в настройке и надежен в работе. Такой маршрутизатор вполне способен решить все задачи по представлению доступа и защите домашней/офисной сети.
Дистрибутив m0n0wall

Дистрибутив m0n0wall ориентирован на применение во встроенных устройствах. Отсюда и размер ~6 Мб. Разработчик, Маньюэл Каспер, поставил себе задачу создать простое и легкое в настройке решение, не уступающее по функциональности коммерческим продуктам. Уникален m0n0wall еще и тем, что все системные настройки сохраняются в XML-файле, а во время загрузки вместо привычных сценариев оболочки используется PHP. Направленность на встроенные системы потребовала изменения алгоритма работы с CF/USB-флешками, которые критичны к количеству циклов записи/перезаписи (да и скоростью работы похвастаться не могут). Поэтому после загрузки система размещается в оперативной памяти. Обращение к носителю происходит только во время сохранения конфигурации, обновления системы или ПО, входящего в его состав. В качестве фильтра пакетов используется IP Filter.
Минимальные системные требования, предъявляемые m0n0wall: i486-100, 64 Мб ОЗУ, две и более сетевых карты, жесткий диск или карта Flash с IDE-интерфейсом размером не менее 8 Мб.
Вопросы лицензии

Исходный код pfSense распространяется под лицензией BSD. С кодом можно делать все, что угодно, но авторские права должны быть сохранены. Кстати, эмблемы проекта это не касается – ее можно использовать только с письменного разрешения. Заявлена коммерческая поддержка продукта, но остальные пользователи могут получить помощь на форуме проекта.
INFO

• Текущая версия pfSense 1.2, вышедшая в феврале 2008 года, базируется на FreeBSD 6.2.
• m0n0wall основан на FreeBSD и кроме pfSense дал жизнь еще нескольким дистрибутивам. Самым популярным является FreeNAS (речь о нем шла в X_08_2008).
• Популярность pfSense довольно высока. Количество загрузок только с официального сайта давно превысила 1 млн.
• В pfSense поддерживаются средства для подключения к виртуальным частным сетям и организации такого сервиса по протоколам IPsec, PPTP, OpenVPN.
• Функциональность в pfSense, по сравнению с родительским дистрибутивом m0n0wall, увеличена на порядок.
• В межсетевом экране по умолчанию активировано два правила, разрешающих все соединения наружу и запрещающих подключения из глобально немаршрутизируемых сетей (10/8, 172.16/12, 192.168/16).

WWW

• Проект m0n0wall: m0n0.ch/wall.
• Требования к оборудования для разных вариантов использования pfSense расписаны на сайте проекта www.pfsense.com в документе Hardware Sizing Guidance.
• Полный список возможностей pfSense приведен на странице Features сайта проекта (www.pfsense.com).

WARNING

• При установке pfSense будут уничтожены все разделы на жестком диске.
• В pfSense правила файрвола работают до первого совпадения, поэтому запрещающий рулесет следует разместить последним.

[olegjack]

Цитата:

Сообщение от TIGR

это сборка для слабых машин! у меня роутер 100МГц пенёк - для 128 памяти это роскошь

Сходи посмейся 200пень 32памяти и флоп
твое рабочее место, о форумчанин!!

[Henri]

Заметил странную фигню, некоторые компы не могут получить настройки по DHCP? Хотя сам DHCP-сервер пишет что типа адрес зарезервировал. Кто подскажет что путное?

[mryuriy]

сам юзал sens123 больше года. Месяц назад вышла 2.0 стабильная поставил на тест. вещь просто оличная создатели поработали на славу крутится пару дней багов еще не ншел изменения только в лучшую сторону
НАРОД СТАВИМ ОТПИСЫВАЕМ ОБСУЖДАЕМ ДЕЛИМСЯ ОПЫТОМ
ТЕМЕ ВВЕРХ