pfSense

pfSense
Главная страница веб-интерфейса pfSense 2.1.5
Разработчик	Rubicon Communications, LLC (Netgate)
Семейство ОС	BSD
Основана на	FreeBSD 10.1 начиная с pfSense 2.2; FreeBSD 11.1 начиная с pfSense 2.4; FreeBSD 12.2 начиная с pfSense 2.5; FreeBSD 12.3 начиная с pfSense 2.6; FreeBSD 12.2 начиная с pfSense 2.5; FreeBSD 14.0-CURRENT в тестовой версии 2.7.0; FreeBSD 14.0-CURRENT в версии 2.7.2
Последняя версия	2.7.2 (7 декабря2023 года)
Последняя тестовая версия	2.7.0-DEVELOPMENT/[1].(3 февраля2023 года)
Поддерживаемые платформы	x86-64
Типядра	Монолитное ядро
Лицензия	Apache 2.0
Состояние	Актуальное
Репозиторий исходного кода	github /pfsense/pfsen…
Следующая	OPNsense
Веб-сайт	pfsense.org
Медиафайлы на Викискладе

pfSense— дистрибутив для созданиямежсетевого экрана/маршрутизатора,основанный наFreeBSD^[2][3][4].pfSense предназначен для установки на персональный компьютер, известен своей надежностью и предлагает функции, которые часто можно найти только в дорогих коммерческих межсетевых экранах^[5].Настройки можно проводить через web-интерфейс, что позволяет использовать его без знаний базовой системы FreeBSD. Сетевые устройства с pfSense обычно применяются в качестве периметровых брандмауэров, маршрутизаторов, серверов DHCP/DNS, и в технологииVPNв качестве узлатопологииhub/spoke.

Название происходит от факта, что pfSense (sense англ.смысл) помогает использовать инструмент фильтрации пакетовpfиз операционной системыOpenBSDболее осознанно для непрофессиональных пользователей^[6].

Проект pfSense был создан в 2004 году какответвлениепопулярного файерволаm0n0wallавторами Chris Buechler и Scott Ullrich. Проект m0n0wall был первой системой UNIX, в которой конфигурация при загрузке выполняется с помощью PHP, а не обычными сценарии оболочки, и которая имеет всю конфигурацию системы, хранящуюся в формате XML. С самого начала дистрибутив pfSense был нацелен на полную установку на компьютер, а не только на встраиваемые системы, какm0n0wall.Тем не менее, pfSense доступен также в виде образа для встраиваемых систем на основе CompactFlash. Версия 1.0 была выпущена 4 октября 2006^[7].

Название дистрибутива было образовано от аббревиатуры pf (англ. packet filteringпакетная фильтрация)^[8].

Версия дистрибутива 2.3 включила в себя много улучшений, включая инструменты для централизованного управления большим количеством устройств^[9].Версия 2.3 содержит полную поддержку протоколаIPv6в основных сервисах.

На данный момент выпущена версия 2.4.5, в которой исправили 24 ошибки и 11 функций^[10].

• Межсетевой экран
• Таблица состояний
• МеханизмNAT
• Два и более файрвола могут быть объединены в отказоустойчивую группу, также поддерживается синхронизация настроек между объединенными файрволами.
  • ПротоколCARPиз операционной системыOpenBSDпозволяет создать аппаратную защиту от сбоев. Два или более межсетевых экрана могут быть объединены в отказоустойчивую группу. В случае отказа сетевого интерфейса на главном межсетевом экране активным становится другой. Также pfSense предоставляет возможность синхронизации настроек: если изменены настройки на одном файрволе, то они автоматически будут синхронизированы на другом.
  • Протокол передачи данных pfsync обеспечивает репликацию состояния файрволов. Это означает, что все существующие сетевые соединения сохранятся при выходе из строя одного из файрволов, что очень важно для обеспечения отказоустойчивости сети.
• Балансировка нагрузки— обеспечивается подключение к нескольким провайдерам с равномерным распределением трафика между ними (пользователь, открывающий web-страницу, не замечает, что элементы этой страницы загружаются по разным каналам)
• VPN-сервер —IPsec,OpenVPN,L2TP,TINC
• PPPoE-сервер
• Динамический DNS
• DHCP-сервер и шлюз
• Прокси-сервер
• СервисCaptive portal— перенаправление на специальную веб-страницу для авторизации для доступа в Интернет.
• Мониторинг и графические отчеты с использованием набора утилит для работы с циклической базой данныхRRD—RRDtool.
• Работа в режимеLiveCD.
• Поддержка программных модулей.

Наиболее значимые расширения:

• Squid— прокси-сервер
• Snortи Suricata — системы обнаружения/нейтрализации вторжений.
• FRR — динамическая маршрутизация (OSPFv2,OSPFv3,BGPv4+)

При разворачивании системы с ожидаемой пропускной способностью менее10Мбит/с минимальные требования к системе: процессор с тактовой частотой 100 МГц или больше, оперативная память 128 Мб или больше.

Система с пропускной способностью в200Мбит/с потребует: процессор с тактовой частотой 1000 МГц, оперативной памяти минимум 512 Мб.

Для пропускной способности до500Мбит/с потребуется: процессор с тактовой частотой 2000-3000 МГц, оперативная память 1024 Мб или больше.

Для развёртывания системы со скоростью передачи данных в1000Мбит/с между двумя интерфейсами, может быть использован Pentium 4 с частотой 3000 МГц или более быстрый процессор, с PCI-X или PCI-e адаптером, т.к. ограничения шины PCI будут препятствовать повышению производительности между двумя 1 Гбитными адаптерами. Оперативная память 2048 Мб или более.

Требования к количеству оперативной памяти предъявляются в зависимости от поставленных задач. Например: требуется организовать безусловный совместный доступ в Интернет небольшого предприятия при скорости передачи данных к провайдеру 100 Мбит/с. Достаточной конфигурацией будет: процессор 1 ГГц, оперативная память 256 Мб. Всё то же самое + выход в Интернет через прокси-сервер с ведением статистики: - объём оперативной памяти желательно увеличить до 512 Мб.

• m0n0wall
• PF
• OPNsense
• IPCop

• pfsense— официальный сайт PfSense(англ.)
• pfSense Features(англ.)
• pfSense Screenshots(англ.)
• PF: The OpenBSD Packet Filter(англ.)
• Review & configuration tutorialatFree Software Magazine(англ.)
• DIY pfSense firewall system beats others for features, reliability, and securityatTechRepublic(англ.)
• Обзоры по настройке pfSense
• Практические решения в картинках на русском языке pfSense(рус.).Осторожно — сайт заполненAdware(рус.)!