» pfSense межсетевой экран

Цитата:

Хочу настроить Pfsense как рутор. как узнать с какой возможностью он смодет пропускать через себя трафик?

Если именно как просто роутер - то это зависит от сетевых плат. Лучше Intel.



Если же кроме просто роутинга будет еще что то, NAT, Proxy, VPN OpenVPN, то становится важным процессор, память и жесткий диск (для proxy).

Core 2 Duo 2 ГГц. 2 Gb Ram спокойно работает с 4 сетевыми платами Intel обрабатывая 50 OpenVPN подключений.
пиковая нагрузка 3х100 мбит совершенно спокойно проходит. без особого дополнительного тюнинга.

можно ли на pfsense поднять полноценный корпоративный прокси сервер через веб интерфейс? Создавать группы, пользователей, закрывать плохие сайты и т.д.

redson
Да

redson
Можно, если руками и головой потрудится. (продукт пока бесплатен.
https://www.pfsense.org/about-pfsense/features.html

NegoroX

Цитата:

(продукт пока бесплатен

есть информация, что будет платным?

Цитата:

есть информация, что будет платным?

На данный момент нет - и надеюсь так и будет, есть платная поддержка.
впрочем можешь сам на оф. сайте глянуть почитать + рус.язычный форум есть.

а есть ли под него у нас в России много-портовое железо похожее на mikrotik?

redson

с микротиком они однояйцевые близнецы.
ты про такое "многопортовое" https://www.pfsense.org/hardware/ или про что?
(я в принципе беру старый системник втыкаю "нужное" и вперед.

Redson

Вот как-то встречалось
http://shop.nativepc.ru/?no_mobile_theme
Правда я сам не пользовался

Цитата:

а есть ли под него у нас в России много-портовое железо похожее на mikrotik?

Серия A1SRM от Supermicro имеет 7 gbe портов. A1SRi/A1SAi - 4 gbe порта. Ценник кусается. Микротик интереснее в железном плане.

redson
SergeSerge3leo

Я пользуюсь, в апреле будет 5 лет.

Платформы PC engines Alix 2D2 и 2D3. + CF card.

Зависит от задач. В роли роутера, firewall и OpenVPN сервера отлично (без тормозов) работает с симметричным каналом 30 мбит. в офисе три десятка человек и на vpn еще столько же.

Для прокси (squid) процессор слабоват. скорость упадет раз в десять наверное, даже если не кэшировать а только резать с помощью SquidGuard рекламу .

можно использовать ноутбучный IDE HDD 2.5".
шлейфик для подключения HDD у shop.nativepc.ru есть в наличии, 100 руб стоило.

Платформа хорошая, софт поставил и забыл. Электричества ест мало. габариты маленькие, ничего лишнего, механики нет - ломаться нечему.

[off topic]
Ну и кроме pFsense можно использовать любое другое ПО для x86, если не понравится\перерастешь возможности.
Я проверял RouterOS (mikrotik), Askozia (asterisk), DD-WRT, OpenWRT. и с видеокартой windows xp.
[/off topic]

а где покупали PC engines Alix 2D2 и 2D3?

поиск в гугле выводит только буржуйские сайты

покупал тут: http://shop.nativepc.ru/ потому что под рукой в СПб. есть доставка по РФ курьером или транспортной компанией. И есть еще одна компании но у них в наличии нет и сроки доставки 2 месяца категорически не устроили.

Еще покупал в одной (другой) компании в Москве, но её названия я уже не помню. В Москве их есть минимум четыре, потому что я выбирал из тех что подешевле и есть в наличии.

Можно спросить?

Цитата:

CF card

Цитата:

5 лет

и все пять на одной карточке?!
И, вроде как, при установке pfSense на CF card не возможности добавлять пакеты и менять конфиг. Научите как вы обходитесь в этом случае.
Спс!

Используется специально собранный embedded образ. Он предназначен специально для использования на CF. Пакеты ставятся нормально из веб интерфейса. При необходимости установить то чего нет в стандартных пакетах, из консоли CF перемонтируется в режим RW, ставится пакет и потом переводиться в режим RO (read only). У меня работает и на CF и на IDE-flash Transend 2gb

Цитата:

Luckas
и все пять на одной карточке?!

ну да, а что ей будет то, от того что за пять лет карточка десять раз прочиталась?

главное - логи хранить отдельно, в памяти и/или на syslog сервер. или не хранить.


Цитата:

gr0mW
Используется специально собранный embedded образ. Он предназначен специально для использования на CF. Пакеты ставятся нормально из веб интерфейса.

можно совершенно спокойно установить и с обычного CD.

вся разница в том, что консоль перенаправлена в com порт. о чём инсталятор с cd спрашивает на каком то шаге.

конечно образ hdd проще и удобнее сразу раскатать на карточку, чем морочится ставить с цд.

на usb flash ставится и работает точно так же. грузится только медленнее в пять раз.

Цитата:

вся разница в том, что консоль перенаправлена в com порт

таки не вся: в эмбеддед все записи на носитель минимизированы, флешки это ж не винты.

VitRom
отнюдь!

в общем то разница между embedded и обычной системой (на уровне железа) заключается в том, что у первой нет видеокарты и вместо консоли com порт.

при этом в embedded может стоять полноценный hdd. как например в cisco.

базовый pFsense в процессе работы и так ничего не пишет. не зависимо от. даже если он установлен на hdd.

пакеты не различают embedded или нет. если автор криворук то пакет гадит файлами где ни поподя и по чем зря.

squid например, если ему творчески оторвать кэш и лог, чудесно без тормозов годами может жить на usb flash, а если случайно криво настроить кэш - то медленно убивает hdd за полгода.

Цитата:

базовый pFsense в процессе работы и так ничего не пишет. не зависимо от.

ORLY?
/var?

В общем, за что купил... Причём у разрабов [more]https://www.pfsense.org/about-pfsense/versions.html#embedded

The embedded version is specifically tailored for use with any hardware using flash memory (mostly Compact Flash) rather than a hard drive. Flash memory can only handle a limited number of writes, so the embedded version runs read only from flash, with read/write file systems as RAM disks. The NanoBSD platform has two OS slices and a config slice. One OS slice is used to boot from, the other is used for upgrades, and the config slice is where the configuration resides is held separately.

There are two variations of the NanoBSD platform: The default version which uses a serial console, and another that supports using a VGA console. Each of those variations also comes sized for different sizes of storage media.[/more] Ну и на форуме они о том же говорили не раз и не два.

А так-то да, разницы никакой, Фря она и в Африке Фря. Просто один вариант ещё нужно настраивать, а другой уже, причём не на коленке, а самими разрабами.

StanislawK

Цитата:

в общем то разница между embedded и обычной системой (на уровне железа) заключается в том, что у первой нет видеокарты и вместо консоли com порт.

Ну, во первых, вообще то есть две версии embedded образа (с выводом в com порт и VGA выводом). Во вторых, embedded версия работает только на чтение с flash, и чтение/запись из файловой системы RAM диска в памяти, что иногда приводит к заполнению памяти логами (лечится перезагрузкой по cron).
Кроме того в embedded 2 слайса под ОС и отдельный слайс под конфиг. Один слайс ОС используется при загрузке, второй для обновления. Слайс конфига для конфигурационого файла.
Так что это больше похоже на решение ОС для железных маршрутизаторов (типа Cisco и т.д.). Плюс отсутствие HHD - меньше вероятность выхода из строя при сбоях питания.
А USB образ идентичный LiveCD.

Вышел релиз pfSense 2.2
https://blog.pfsense.org/?p=1546

New Features and Changes
https://doc.pfsense.org/index.php/2.2_New_Features_and_Changes

Друзья, прошу помощи, тестирую сабж.
Версия 2.2, Squid3 - 3.4.10_2 pkg 0.2.6, SquidGuard3 - 1.4_4 pkg v.1.9.6.
Проблема: SquidGuard не запускается после перезагрузки. Но помогает обновление базы блеклиста.
Куда копать, какие логи смотреть? Честно говоря только начал изучать сабж, часть трабл удалось порешать, часть нет. Вообще приходится постараться чтобы эту штука работала)))

Цитата:

чтобы эту штука работала

Согласен, против 2.1х - очень геморройная версия. У меня со SquidGuard3 тоже толком не завелась. Снёс, поставил squidguard-devel, с ним заработало. Теперь пытаюсь запустить lightSquid ((( и всё это при установке 2.2 начисто...

ICY_fire

Цитата:

Честно говоря только начал изучать сабж, часть трабл удалось порешать

Ставь Pfsense 2.15 2.2 пока еще очень сыра.

складывается впечатление, что с версии 2.01 все пользователи = бета тестеры.

не гонитесь за версиями PfS


насчет плагинов - наоборот.. ....НО, все временно и все не так.

Цитата:

не гонитесь за версиями PfS

Когда у тебя аптайм 311 Days 00 Hour 15 Minutes 15 Seconds на системном блоке без применения ИБП, то как-то обидно такую красоту гробить собственными руками через обновление.

Цитата:

Ставь Pfsense 2.15  2.2 пока еще очень сыра.

Сама 2.2 стабильна, а вот пекеджи не очень ..

Цитата:

Сама 2.2 стабильна, а вот пекеджи не очень

КМК, здесь какая-то неувязочка, ведь на 2.1 эти же пакеты работают, при чём весьма не плохо

Цитата:

КМК, здесь какая-то неувязочка, ведь на 2.1 эти же пакеты работают, при чём весьма не плохо

Ну, это не ко мне. Я на 2.2 с первого снапшота и коммитил багфиксы в master бранч поэтому примерно представляю ситуацию pfSense под капотом и говорю исходя из опыта работы уже с релизной 2.2.

Могу уверенно сказать, что 2.1 и 2.2 - это разные вещи. Очень даже. И со совместимостью с пекеджами там проблемы ... Поэтому уже сейчас в состав 2.2 не вошли некоторые пекеджи, которые работают под 2.1, но не работают под 2.2 и посему depricated.

В скором времени им на замену придут пекеджи нового поколения (NG).

Даже тот же SquidGuard на момент релиза не был рабочим. Я вообще команду не сильно понимаю: они жутко торопились выпустить релиз в январе любыми средствами. Выпустили 16го янв с нерабочим OpenVPN. Я их попинал, они пофиксили баг и пересобрали образ от 21го янв.

---

Со дня на день ожидается pfBlockerNG.

Да вас, собственно, я и не пытался в чём-то обвинить. То что 2.2 это "совсем другая вещь" для меня стало понятно, когда я получил не рабочий пф после перезагрузки нажав обновить, а затем установив его начисто. Могли бы выкинуть из списка доступных пакетов не рабочие в 2.2. Это опять же не к вам, а так - про мысли вслух.