Релизы дистрибутивов для создания межсетевых экранов IPFire 2.29 Core 186 и NethSecurity 8.0

14.06.2024 19:24

Опубликован выпуск дистрибутива для создания маршрутизаторов и межсетевых экранов IPFire 2.29 Core 186. IPFire отличается простым процессом установки и организацией настройки через интуитивно понятный web-интерфейс, изобилующий наглядными графиками. Размер установочного iso-образа составляет 421 МБ (x86_64, AArch64).

Система модульная: кроме базовых функций пакетной фильтрации и управления трафиком для IPFire доступны модули с реализацией системы для предотвращения атак на базе Suricata, для создания файлового сервера (Samba, FTP, NFS), почтового сервера (Postfix, ClamAV) и сервера печати (CUPS), беспроводной точки доступа, системы потокового вещания (MPFire, MiniDLNA/ReadyMedia, Gnump3d, VDR). Для установки дополнений в IPFire используется специальный пакетный менеджер Pakfire.

В новом выпуске:

Добавлена экспериментальная поддержка файловой системы Btrfs.
Ядро Linux обновлено до версии 6.6.32.
В сборках для плат Raspberry Pi реализована поддержка изменения частоты CPU в зависимости от нагрузки для снижения энергопотребления или повышения производительности.
Данные из списка блокировки Spamhaus eDROP (Extended Don’t Route Or Peer) объединены со списком DROP. Списки eDROP и DROP отличались тем, что в DROP размещались диапазоны адресов спамеров и киберпреступников, соответствующие блокам, напрямую выделенным регистраторами, а в eDROP включались подсети, выделенные из основных блоков.
Удалён список блокировки Alienvault, сопровождение которого было прекращено.
В системе обнаружения атаки Suricata включён предоставляемый ядром Linux механизм изоляции Landlock для блокирования доступа к ФС в случае эксплуатации уязвимостей в Suricata.
Добавлен патч, убирающий лишние перезагрузки DNS-сервера Unbound в процессе обработки назначенных через DHCP адресов.
Обновлены версии программ Apache2 2.4.59, BIND 9.16.49, kmod 32, libhtp 0.5.48, OpenSSL 3.2.2, SQLite 3.45.3, squid 6.9, strongSwan 5.9.14, Suricata 7.0.5.
Удалён пакет с системой мониторинга Icinga, который основывался на устаревшей ветке 1.x, сопровождение которой было прекращено в 2018 году. Из-за небольшого числа пользователей данного модуля решено не переходить на ветку Icinga 2.x, а удалить пакет.
Из-за проблем с работоспособностью удалён пакет с утилитой sslh, позволяющей мультиплексировать подключения HTTPS, SSH, OpenVPN, SOCKS5, tinc и XMPP через один сетевой порт 443.
Обновлены пакеты Bacula 13.0.4, dnsdist 1.9.3, Lynis 3.1.1, mympd 14.1.2 и Tor 0.4.8.11.

Дополнительно можно отметить публикацию нового дистрибутива для создания межсетевых экранов NethSecurity 8, основанного на платформе NethServer 8 и рассчитанного на быстрое развёртывание межсетевого экрана. Помимо фильтрации пакетов предоставляются возможности для определения и предотвращения вторжений, антивирусной проверки, блокировки рекламы, расстановки приоритетов для разных видов трафика, глубокого инспектирования пакетов (DPI) и фильтрации контента (например, можно выборочно заблокировать Netflix, Youtube, Tiktok, Instagram, Faceboook и прочие сервисы, которые могут отвлекать сотрудников от работы). Размер загрузочного образа в сжатом виде 54 МБ.

Возможна работа в конфигурациях, имеющих несколько внешних каналов подключения к интернету (MultiWAN). Поддерживается создание туннелей через IPsec и OpenVPN, а также развёртывание точек беспроводного доступа. Платформа построена как целостное решение, которое можно использовать для установки на физические серверы и виртуальные машины, а также для создания загрузочных USB-носителей, превращающих любой компьютер в межсетевой экран.

Управление всеми поддерживаемыми возможностями осуществляется через web-интерфейс. Среди прочего через web-интерфейс выполняется администрирование системы, включая такие операции как создание/восстановление резервных копий конфигурации, сброс к заводским настройкам и управление установкой обновлений.

При использовании в инфраструктуре серверов на базе дистрибутива NethServer возможно включение централизованного удалённого управления всеми хостами с NethSecurity через интерфейс NethServer, а также мониторинг за работой межсетевых экранов и сбор логов. Среди прочего доступен даже SSH-клиент, работающий через web-интерфейc.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/61368-ipfire

Ключевые слова: ipfire, nethsecurity, firewall

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (40)

1.1, Аноним (1), 20:47, 14/06/2024 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Пфсесн бест. И ядро православное.

2.3, Аноним (3), 21:32, 14/06/2024 [^] [^^] [^^^] [ответить]	–1 +/–
Опнсенс бестее.

2.4, Аноним (1), 21:57, 14/06/2024 [^] [^^] [^^^] [ответить]

+/–

>Опнсенс бестее.

В чем Вы видите принципиальную разницу?
Одни под нетгейт, вторые под десисо.

Это если о религиозной стороне. Если о прикладной, сказать конкретно не готов, юзал пфсенс, все устраивало. Опнсенс не щупал.

2.34, OpenEcho (?), 14:42, 15/06/2024 [^] [^^] [^^^] [ответить]	+/–
> Пфсесн бест. Был, теперь маркетологи там рулят. Попробуй ка скачай ИСО, без предоставления мыла и выкачки нетгейтовского сетевого инсталятора. Прямые линки на загрузку спрятали, но пока еще можно с них качать

2.40, MaleDog (?), 20:00, 16/06/2024 [^] [^^] [^^^] [ответить]	+/–
Тут смотря, что нужно. Если ты "неуловимый джо" и никто тебя специально не DDoS'ит. И правила меняются не каждую минуту, то конечно pf выигрывает в силу простого синтаксиса в котором сложно ошибиться. Если у тебя есть потребность налету(меньше чем за секунду) менять правила фаервола, то тут конечно пингвины с их netfilter побеждают. Впрочем, смотрю я на проприетарные системы установленные системы у провайдеров и поражаюсь. Ладно, вы там сцуко на внешнем периметре отражаете ниебические атаки. Но зачем вы используете кривые правила, которые говорят, что если пользовательский роутер для вас "закрыт" или его трафик аномально спрятан. Например VPN, то нужно регулярно рвать соединения и всячески давить этот трафик. Так что лучше бы они сидели на фре, и меняли правила раз в час. В итоге проработать сутки без разрыва уже проблема а иногда и по несколько раз в час.

1.2, Анон666 (?), 21:05, 14/06/2024 [ответить] [﹢﹢﹢] [ · · · ]	–6 +/–
Не пойму что-то зачем это. Для работы есть железные МСЭ, для подкроватных войнов есть nftables. Для кого эти дистрибутивы?

2.5, Аноним (1), 22:24, 14/06/2024 [^] [^^] [^^^] [ответить]	–1 +/–
Для кого конкретно эти дистрибы сам не понимаю. Чтобы запустить в виртуалке православный пф?! Но это же оверхэд. МСЭ для работы бывают не всегда выгодны. Для какого-нить офиса в 50 раб мест, например. Циско/хуавей дорого, а микротика уже маловато. Да и полит обстановка знаете ли...

3.6, Анон666 (?), 23:01, 14/06/2024 [^] [^^] [^^^] [ответить]	–2 +/–
Хз, микротик подходящий будет стоить 30к (а на торрентах со скидкой раздают routeros x86 для виртуалок). Если есть чуть поболе, можно взять подержанную Асу. Если хочется отечественного - Элтексы вроде умеют МСЭ. Короче непонятно.

4.9, Аноним (1), 23:16, 14/06/2024 [^] [^^] [^^^] [ответить]	+/–
Полагаю, что микротик за 30к просядет уже после 20+ овпн тоннелей, что для всякой там удаленки так себе. Бу аса - кот в мешке + с апдейтами гемор. Микротик под описанную выше задачу стоит нонче около 200к. Вообще микротику рядом с пфсенс в таком конфиге место тоже есть, для вафли например.

5.12, Аноним (12), 23:35, 14/06/2024 [^] [^^] [^^^] [ответить]	+/–
На 50 сотрудников микрота за 30 потянет (про тоннели речи не было - 20+ это по тоннелю на сотрудника, лол?). Если что-то более мощное - Клауд роутер за сотку точно пойдет. Аса кот в мешке это забавно. А что тогда не кот в мешке? Вафля в микроте - это традиционно слабое место, под вафлю берут другие решения. Если ты не разбираешься - не лезь плиз в разговор.

6.15, Аноним (1), 23:52, 14/06/2024 [^] [^^] [^^^] [ответить]

+/–

>На 50 сотрудников микрота за 30 потянет

Речь шла о 50 раб местах. Раб место не равно сотрудник.

>про тоннели речи не было - 20+ это по тоннелю на сотрудника, лол?)

Зачем про тоннели речь, если сейчас это обьективная реальность. У меня это было реальностью задолго до локдауна.
Туннели же бывают сайт ту сайт, сайт ту мультисайт. Вот такой вот лол.
Ок. Попробуйте на микроте за 30к овпн одновременно 20+ клиентов с нормальным шифрованием в рамках сайт -мультисайт. Вывод топа в студию.

>Аса кот в мешке это забавно. А что тогда не кот в мешке?

И почему лолирующие индивиды никогда не могут внимательно прочитать? Риторический вопрос.
Там написано: БУ аса. Сиречь бывшая в употреблении.

>Вафля в микроте - это традиционно слабое место, под вафлю берут другие решения.

Чем слабое? Какие решения берут? Юбиквити?
Берут обычно то, что валяется в серверной и/или куплено кем-то, кто пыжился и не осилил, приводя похожую аргументацию.

>Если ты не разбираешься - не лезь плиз в разговор.

Да я уже понял, что Вы разбираетесь! Отче, просветите еще!

7.20, Аноним (12), 00:33, 15/06/2024 [^] [^^] [^^^] [ответить]

+1 +/–

>Речь шла о 50 раб местах. Раб место не равно сотрудник.

То есть у тебя за несколькими армами работают несколько людей параллельно и у них у каждого по тоннелю офис, верно? Причем все это одновременно. Чел, ты где работаешь? В смехопанораме?
>Туннели же бывают сайт ту сайт, сайт ту мультисайт

Коллективу в 50 рыл жизненно необходимо иметь 100 тоннелей в Хабаровский филиал. Для справки - если ты про клиентские подключения, то 50 одновременных vpn сессий тебе любой современный роутер в диапазоне 50-100к прожует играючи. Возьми калькулятор посчитай.
>Попробуйте на микроте за 30к овпн одновременно 20+ клиентов с нормальным шифрованием в рамках сайт -мультисайт.

Огласи сначала сетевой конфиг. А то у тебя сперва 50 юзеров, потом какие-то мультисайты вылезают. Определись какую задачу ты решаешь.
>БУ аса. Сиречь бывшая в употреблении.

Кашмар. Рассказать на каком оборудовании вот прям щас живет твой банковский аккаунт?
>Чем слабое? Какие решения берут? Юбиквити

Например. Слабое тем, что не тянет по полосе пропускания по причине каличного железа. У них только точка-точка релейки норм были.
>Отче, просветите еще!

Просвящаю - если тебе в моменте платят больше слесаря, то это не значит, что так будет продолжаться вечно. Если и дальше будешь на уровне админчика на 50 рыл, то пойдешь заворачивать бургеры в 40 лет. Вместо комментов на сайтиках - бегом учиться, нарабатывать опыт своими шишками и смотреть за старшими. Поменьше гонору - побольше усердия в учебе!

8.21, Аноним (1), 00:55, 15/06/2024 [^] [^^] [^^^] [ответить]	+/–
Я вообще не работаю Мне даже слово это не очень нравится Слышал, что сейчас за... текст свёрнут, показать

5.13, Даа уж... (?), 23:37, 14/06/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Овпн туннели для удалёнки.. Акстись уже.

6.17, Аноним (1), 00:06, 15/06/2024 [^] [^^] [^^^] [ответить]	+/–
А что сейчас в моде? Неужели вг?

7.18, Грудная жаба (?), 00:22, 15/06/2024 [^] [^^] [^^^] [ответить]	+1 +/–
перевел на вг весь офис, уже как год - забыл про впн вообще... Никаких танцев с сертификатами и конфигами, из-за просрочки или залетной сраной обновы, никаких тупоголовых звонков от кудахтеров... Настроил и забыл. Всё крутиться на опнсенсе на старом шпишном корыте.

8.22, Аноним (1), 01:01, 15/06/2024 [^] [^^] [^^^] [ответить]	–1 +/–
Аналогично Настроил году в 2012 Все работает Что я делаю не так ... текст свёрнут, показать

9.38, Аноним (38), 18:35, 16/06/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Лжёшь на анонимном форуме Первый релиз WG был в 2015 ... текст свёрнут, показать

8.24, Аноним (1), 01:15, 15/06/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Что там в обновах у Вас ломает ума не приложу Так же не знаю как в опнсенс дела... текст свёрнут, показать

8.41, Олег (??), 20:08, 16/06/2024 [^] [^^] [^^^] [ответить]	+/–
Как поживают 3-4 разных wg на одной железке Как реализованы механизмы разрешени... текст свёрнут, показать

7.19, Даа уж... (?), 00:31, 15/06/2024 [^] [^^] [^^^] [ответить]	+/–
В моде здравый смысл, как всегда.

8.23, Аноним (1), 01:02, 15/06/2024 [^] [^^] [^^^] [ответить]	+/–
Согласен И мой здравый смысл как бы говорит мне не мешай технике работать ... текст свёрнут, показать

3.7, Анон666 (?), 23:02, 14/06/2024 [^] [^^] [^^^] [ответить]	+/–
Да и даже если варианты выше не подходят - поставь Альму с nftables, в чем проблема? Зачем дистриб от Василия?

4.10, Аноним (1), 23:18, 14/06/2024 [^] [^^] [^^^] [ответить]	+/–
Проблема в нфтаблес:) От Васяна не надо, согласен. От нетгейт вполне корпоративненько. Так сказать за лоу прайс.

5.14, Аноним (12), 23:44, 14/06/2024 [^] [^^] [^^^] [ответить]	+/–
Я не знаю, что такое нетгейт. Если у тебя 20 юзеров - ставишь блин обычный линукс с обычным фильтром - готово. Нафига голову ломать? Будущий админчик тебе спасибо скажет, что не впендюрил netsupermegagate от Василия.

6.16, Аноним (1), 00:05, 15/06/2024 [^] [^^] [^^^] [ответить]

+1 +/–

>Я не знаю, что такое нетгейт

Комментом выше Вы говорили, что все знаете.

>Если у тебя 20 юзеров

В описании задачи было сказано: 50 раб мест. Одновременно 20+ подключений. Откуда Вы взяли 20 юзеров?

>ставишь блин обычный линукс с обычным фильтром - готово. Нафига голову ломать? Будущий админчик тебе спасибо скажет, что не впендюрил netsupermegagate от Василия.

Не, ну лет цать назад, когда линукс еще не истек жиром, пипитаблес был человеческим, а груди женские в основной массе были от 1.5, можно и нужно было накатывать гейт без гуя, повышая чсв в глазах руководства и бухгалтерии.

Сейчас, когда у средне успешного одмина в удаленном рулении таких организаций не одна, смысла в чистой ос на гейте нет. Таки убобнее визуализировать процессы. Меньше времени уходит, больше денег приходит.

7.27, Anm (?), 08:39, 15/06/2024 [^] [^^] [^^^] [ответить]

+/–

Лет так много назад webmin ставишь практически на чистый linux. Минимальный набор модулей и т.д.
Там мегабайт 40-50 загоняешь в RAM и рули себе с гуем в свое удовольствие.

У меня так лет 15 проработал сервак.

Потом раскошелился директор на чекпойнт.

8.30, Аноним (1), 10:25, 15/06/2024 [^] [^^] [^^^] [ответить]	+/–
Из огня, да в полымя В пору вебмина я религиозно был против, юзал чистый П... текст свёрнут, показать

9.35, Anm (?), 15:10, 15/06/2024 [^] [^^] [^^^] [ответить]	+/–
Религия - опиум для народа Имхо чекпоинт не панацея ... текст свёрнут, показать

10.37, Аноним (1), 22:40, 15/06/2024 [^] [^^] [^^^] [ответить]	+/–
Согласен Панацея лишь опиум для народа ... текст свёрнут, показать

6.43, Аноним (43), 08:11, 17/06/2024 [^] [^^] [^^^] [ответить]	+/–
Кто твой "обычный линукс" будет настраивать, если срочно понадобиться что-то поменять, пока ты у бабушке на даче? Как там с экспортом/импортом конфигурации? Как там, хотя бы, с просмотром текущей конфигурации?

3.8, Anm (?), 23:05, 14/06/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Если на чекпойнт денег нет, всегда можно воспользоваться альтернативой. По мне так и iptables годный на небольшой парк.

3.29, Аноним (29), 09:10, 15/06/2024 [^] [^^] [^^^] [ответить]	+/–
> Циско/хуавей ... микротика Советуешь?

4.31, Аноним (1), 10:28, 15/06/2024 [^] [^^] [^^^] [ответить]	+/–
Нет. Недружественное оно. Но многие продолжают колоться и вкушать кактус. Обходить ограничения ака причинять себе боль за свои же деньги - для истинных ценителей.

4.42, Олег (??), 20:09, 16/06/2024 [^] [^^] [^^^] [ответить]	+/–
На микроте ограничений и глюков хватает, а при ддос не живёт не минуты

3.39, Аноним (38), 18:39, 16/06/2024 [^] [^^] [^^^] [ответить]	+/–
> Циско/хуавей дорого Зачем в палатке с шаурмой циска?

1.11, Аноним (-), 23:25, 14/06/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> Данные из списка блокировки Spamhaus eDROP (Extended > Don’t Route Or Peer) объединены со списком DROP. А так то идея - если забанить весь интернет, интрудеры точно обломаются. Спамхаус это очень даже умеет.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: