Netgate випускає pfSense Community Edition версії 2.8.0

Компанія Netgate оголосила про випуск дистрибутива для створення міжмережевих екранів та мережевих шлюзів pfSense CE 2.8.0 (Community Edition). Цей дистрибутив засновано на кодовій базі FreeBSD з використанням напрацювань проєкту m0n0wall та пакетного фільтра pf. Для завантаження підготовлено iso-образ для архітектури amd64.

Керування дистрибутивом здійснюється через веб-інтерфейс. Для організації виходу користувачів у дротових та бездротових мережах можна використовувати Captive Portal, NAT, VPN (IPsec, OpenVPN) та PPPoE. Підтримується широкий спектр можливостей щодо обмеження пропускної здатності, лімітування кількості одночасних з’єднань, фільтрації трафіку та створення відмовостійких конфігурацій на базі CARP. Статистика роботи відображається у вигляді графіків або в табличному вигляді. Підтримується авторизація за локальною базою користувачів, а також через RADIUS та LDAP.

Основні зміни в pfSense CE 2.8.0

Оновлення базової системи

Компоненти базової системи оновлено до FreeBSD 15-CURRENT. Також оновлено версію PHP до 8.3.

Покращений інтерфейс для автоматичного резервного копіювання

Переписано інтерфейс користувача для використання безкоштовного сервісу ACB (Automatic Configuration Backup), що дозволяє автоматично зберігати резервні копії налаштувань у хмарному сховищі Netgate (резервні копії передаються у зашифрованому вигляді). Додано можливість зміни ключа пристрою, що застосовується для шифрування.

Новий бекенд для протоколу PPPoE

Запропоновано новий бекенд для протоколу PPPoE, заснований на модулі ядра if_pppoe, що демонструє вищу пропускну здатність при передачі даних через мережевий інтерфейс PPPoE. Однак if_pppoe відстає за функціональністю, наприклад, не підтримує MLPPP. Наразі новий бекенд вимкнено за замовчуванням, але в майбутніх випусках він замінить старий бекенд на базі пакета MPD.

Зміни в правилах обробки стану з’єднань

Змінено правила обробки станів з’єднань у міжмережевому екрані (State Policy). Замість режиму Floating за замовчуванням задіяно режим Interface Bound, при якому стан з’єднання прив’язано до мережевого інтерфейсу, а спроби передачі пакета через інший мережевий інтерфейс блокуються. При використанні IPsec VTI здійснюється відкат до режиму Floating, оскільки прив’язка до мережевих інтерфейсів у цьому випадку створює проблеми.

Режим Fail-Back для шлюзів

Реалізовано Fail-Back режим для шлюзів, при якому скидається стан прив’язки до вторинних шлюзів після відновлення первинного шлюзу.

Розширені можливості DHCP-сервера

Задіяно додаткові можливості DHCP-сервера Kea, що дозволили досягти паритету в функціональності з ISC DHCP. Додано підтримку реєстрації та оновлення записів у DNS про імена хостів клієнтів DHCP. Реалізовано розширення DHCPv6 Prefix Delegation. З’явилася можливість запуску синхронізованих запасних DHCP-серверів для забезпечення високої доступності (High Availability), спрощено налаштування відмовостійких конфігурацій. Додано підтримку статичних ARP-адрес. Надано можливість змінювати налаштування Kea, не охоплені графічним інтерфейсом, використовуючи блоки у форматі JSON.

Повна підтримка NAT64

Забезпечено повну підтримку NAT64, що дозволяє клієнтам, які мають лише адреси IPv6, звертатися до хостів, що використовують IPv4.

Розширені шаблони для міжмережевого екрана

Додано можливість використання в користувацьких правилах міжмережевого екрана системних шаблонів, раніше застосовних лише у внутрішніх правилах. Додано нові шаблони для виділення зарезервованих та спеціалізованих підмереж.

Більше інформації можна знайти на офіційному сайті pfSense та у офіційному анонсі релізу 2.8.0.