Firewall pfSense založený na FreeBSD: historie projektu

Lukáš Malý 2. 6. 2016

V mini seriálu o firewallu pfSense si povíme o této distribuci založené na FreeBSD. Odhalíme historii projektu a postupně se podíváme na jednotlivé vlastnosti systému.

Historie projektu pfSense

Firewalů a routerů pro použití v různých sítích exisuje celá řada. Velmi známým open source firewallem je např. OpenWRT, ten je postaven na linuxovém kernelu a disponuje velkou a aktivní komunitou. Do kategorie open source se též řadí již 12 let projekt pfSense, který stojí na odlišných základech a těmi je prověřený operační systém FreeBSD. Z názvu projektu jsou velmi významná první dvě písmena, která označují stavový firewall Packet Filter, který je vyvíjen jako součást operačního systému OpenBSD, z něhož je portován na ostatní *BSD platformy. Je málo známé, že Packet Filter je portován i na Apple OS X.

Projekt vznikl v roce 2004 jako fork staršího obdobného projektu m0n0wall. Spoluzakladateli projektu byli Chris Buechler a Scott Ullrich. Za projektem dnes stojí společnost Electric Sheep Fencing LLC. V letech 2003–2013 byl pfSense pod křídly BSD Perimeter LLC. Důvody pro změnu názvu a přemístění společnosti uvedl Chris na blogu projektu.

Z projektu m0n0wall vzniklo hnedle několik dalších dobře známých open source projektů jako je FreeNAS, AskoziaPBX a nejnovějším je OPNsense. V loňském roce 15. února 2015 se Manuel Kasper rozhodl projekt m0n0wall definitivně ukončit.

Počátkem roku 2015 jsem zaregistroval zprávičku o poněkud nesvobodném chování uvnitř projektu. Situace byla hodně nepřehledná a přelicencování projektu způsobilo vznik nového forku pfSense, tím se stal již zmiňovaný OPNsense. Nový fork jsem zatím nevyzkoušel, ale v rámci tohoto seriálu si na něj čas udělám. Dne 12.4. 2016 vyšla poslední, nová a značně přepracovaná verze 2.3, která nese přívlastek pfSense-CE (Comunity Edition). Dá se tedy očekávat, že pfSense-EE (Enterprise Edition) verze bude přítomna v produktové rodině hardware nabízené na stránkách projektu. Již zmiňovaný Manuel Kasper se zjevně přiklonil na stranu OPNsense tímto prohlášením. Pevně věřím, že částečná komercionalizace projektu pfSense neublíží.

Podporovaný embedded hardware

Společným jmenovatelem pro m0nOwall i pfSense byl embedded hardware od společnosti PC Engines, s nimiž se v souběhu vyvíjely i oba firewalové systémy. Společnou mají podporu Compact Flash instalací, kterou zmíněný HW vyžaduje. Dalším použitelným výrobcem pro oba systémy je např. společnost Soekris.

Švýcarská společnost PC Engines vyráběla desky s označením WRAP, podstatně inovovanější jsou dnes stále vyráběné desky ALIX a současné nejmodernější jsou desky s označením APU, které jsou osazeny mSATA slotem, který konečně překonává zastaralé a pomalé Compact Flash. Do slotu lze instalovat malé mSATA SSD moduly např. o velikosti 16 GB. Desky PC Engines disponují též slotem miniPCI express, do kterého se dá připojit WiFi karta a tím se rozšíří funkcionalita routeru. Nastavení WiFi adaptéru má v pfSense velmi široké možnosti, které si popíšeme v dalších dílech.

pfSense je současně zdarma stažitelný pro architektury AMD64 a i386 ve verzích, viz tabulka. Dále ještě existují verze pro VGA a sériovou konzoli.

Platforma
CD images (ISO) with installer
Memstick image with installer
Embedded (NanoBSD) typically with CF

Média ISO a Memstick jsou instalovatelné na libovolný hardware architektur AMD64 a i386. Instalace je možná i jako virtuální appliance. pfSense disponuje balíčkem Open VM Tools, který je potřebný při instalaci do VMWare prostředí. Podporovaný hardware musí splňovat požadavky dle FreeBSD hardware notes příslušné verze, kterou pfSense používá.

U embedded verze je nutné poznamenat, že používá NanoBSD, které vyvinul Poul-Henning Kamp. NanoBSD vytváří bitové kopie systému FreeBSD pro embedded aplikace, vhodné pro použití na Compact Flash (či jiných paměťových médiích).

Při výběru hardware pro požadovanou síťovou úlohu je vždy nutné zvolit patřičně výkonný hardware. Zde je uvedeno pěkné srovnání použití šifer pro OpenVPN a IPSec v závislosti na rychlosti spojení od jednoho výrobce používajícího pfSense.

Jednou z nevýhod je bezesporu cena, která je u HW pro pfSense vyšší než například ceny RouterBoard desek pro MikroTik. Nevím přesně, jak je to s výkonem CPU a RAM u nějakých srovnatelných modelů.

Historie verzí

Během 12letého vývoje se pfSense patřičně proměnil. Bylo přídáno mnoho funkcí a různých rozšiřujících balíčků. Poslední verze 2.3.1 přinesla velké množství oprav a změn. Asi největší změnou je zcela nový vzhled GUI využívající Bootstrap framework. Web server lighttpd byl vyměněn za nginx. Pro rychlé nahlédnutí na pfSense 2.3 autoři připravili pěkné video. Mezi firewallová pravidla lze nově vkládat separátor pro přehledné oddělení pravidel. Dále se výrazně upravily možnosti konfigurace grafů. Změn je opravdu mnoho.

Starší verze pfSense tak trochu pokulhávaly s použitím aktuálního FreeBSD. To se od verze 2.2 výrazně posunulo. Aktuální pfSense 2.3.1 používá FreeBSD 10.3-RELEASE-p3 a ve svých opravách důsledně příjímá i opravy FreeBSD systému, což dříve též nebylo zvykem. Pokud se tedy objeví nějaká chyba ve FreeBSD Security Advisories, velmi brzo se opraví i verze pfSense.

Verze pfSense
Version 1.0 October 4, 2006
Version 2.0 September 17, 2011
Version 2.1 September 15, 2013
Version 2.2 January 23, 2015
Version 2.3 April 12, 2016

Jednou z velmi zajímavých vlastností pfSense je snadná možnost aktualizací sama sebe. Není tedy nutné nějak složitě provádět manuální výměny firmware. Vždy je nutné se držet instrukcí v Upgrade Guide.

Dashboard pfSense 2.2

Verze 2.2.x se barvila do červena a zavedla volitelný dashboard.

Dashboard pfSense 2.3

Verze 2.3.x přišla s již popisovanými novinkami. Menu zůstalo v zásadě stejné, proto se uživatelé neztratí při přechodu na novější verze.

widgety

Seznam základních vlastností a funkcionalit

Závěrem uvádím seznam vlastností projektu pfSense i s odkazy na dokumentaci.

Závěr

V dalším díle mini seriálu o pfSense se podíváme na možnosti instalace a práce s routerem na sériové konzoli. Dále si ukážeme další vybrané funkcionality, které pfSense umí.

Našli jste v článku chybu?
Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Vitalia.cz: Ošklivá zelenina s 10% slevou? Není to málo?

Ošklivá zelenina s 10% slevou? Není to málo?

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

120na80.cz: Nejsilnější alergeny jsou pryč

Nejsilnější alergeny jsou pryč

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou