Hlavní navigace

Firewall pfSense založený na FreeBSD: historie projektu

Lukáš Malý 2. 6. 2016

V mini seriálu o firewallu pfSense si povíme o této distribuci založené na FreeBSD. Odhalíme historii projektu a postupně se podíváme na jednotlivé vlastnosti systému.

Historie projektu pfSense

Firewalů a routerů pro použití v různých sítích exisuje celá řada. Velmi známým open source firewallem je např. OpenWRT, ten je postaven na linuxovém kernelu a disponuje velkou a aktivní komunitou. Do kategorie open source se též řadí již 12 let projekt pfSense, který stojí na odlišných základech a těmi je prověřený operační systém FreeBSD. Z názvu projektu jsou velmi významná první dvě písmena, která označují stavový firewall Packet Filter, který je vyvíjen jako součást operačního systému OpenBSD, z něhož je portován na ostatní *BSD platformy. Je málo známé, že Packet Filter je portován i na Apple OS X.

Projekt vznikl v roce 2004 jako fork staršího obdobného projektu m0n0wall. Spoluzakladateli projektu byli Chris Buechler a Scott Ullrich. Za projektem dnes stojí společnost Electric Sheep Fencing LLC. V letech 2003–2013 byl pfSense pod křídly BSD Perimeter LLC. Důvody pro změnu názvu a přemístění společnosti uvedl Chris na blogu projektu.

Z projektu m0n0wall vzniklo hnedle několik dalších dobře známých open source projektů jako je FreeNAS, AskoziaPBX a nejnovějším je OPNsense. V loňském roce 15. února 2015 se Manuel Kasper rozhodl projekt m0n0wall definitivně ukončit.

Počátkem roku 2015 jsem zaregistroval zprávičku o poněkud nesvobodném chování uvnitř projektu. Situace byla hodně nepřehledná a přelicencování projektu způsobilo vznik nového forku pfSense, tím se stal již zmiňovaný OPNsense. Nový fork jsem zatím nevyzkoušel, ale v rámci tohoto seriálu si na něj čas udělám. Dne 12.4. 2016 vyšla poslední, nová a značně přepracovaná verze 2.3, která nese přívlastek pfSense-CE (Comunity Edition). Dá se tedy očekávat, že pfSense-EE (Enterprise Edition) verze bude přítomna v produktové rodině hardware nabízené na stránkách projektu. Již zmiňovaný Manuel Kasper se zjevně přiklonil na stranu OPNsense tímto prohlášením. Pevně věřím, že částečná komercionalizace projektu pfSense neublíží.

Podporovaný embedded hardware

Společným jmenovatelem pro m0nOwall i pfSense byl embedded hardware od společnosti PC Engines, s nimiž se v souběhu vyvíjely i oba firewalové systémy. Společnou mají podporu Compact Flash instalací, kterou zmíněný HW vyžaduje. Dalším použitelným výrobcem pro oba systémy je např. společnost Soekris.

Švýcarská společnost PC Engines vyráběla desky s označením WRAP, podstatně inovovanější jsou dnes stále vyráběné desky ALIX a současné nejmodernější jsou desky s označením APU, které jsou osazeny mSATA slotem, který konečně překonává zastaralé a pomalé Compact Flash. Do slotu lze instalovat malé mSATA SSD moduly např. o velikosti 16 GB. Desky PC Engines disponují též slotem miniPCI express, do kterého se dá připojit WiFi karta a tím se rozšíří funkcionalita routeru. Nastavení WiFi adaptéru má v pfSense velmi široké možnosti, které si popíšeme v dalších dílech.

pfSense je současně zdarma stažitelný pro architektury AMD64 a i386 ve verzích, viz tabulka. Dále ještě existují verze pro VGA a sériovou konzoli.

Platforma
CD images (ISO) with installer
Memstick image with installer
Embedded (NanoBSD) typically with CF

Média ISO a Memstick jsou instalovatelné na libovolný hardware architektur AMD64 a i386. Instalace je možná i jako virtuální appliance. pfSense disponuje balíčkem Open VM Tools, který je potřebný při instalaci do VMWare prostředí. Podporovaný hardware musí splňovat požadavky dle FreeBSD hardware notes příslušné verze, kterou pfSense používá.

U embedded verze je nutné poznamenat, že používá NanoBSD, které vyvinul Poul-Henning Kamp. NanoBSD vytváří bitové kopie systému FreeBSD pro embedded aplikace, vhodné pro použití na Compact Flash (či jiných paměťových médiích).

Při výběru hardware pro požadovanou síťovou úlohu je vždy nutné zvolit patřičně výkonný hardware. Zde je uvedeno pěkné srovnání použití šifer pro OpenVPN a IPSec v závislosti na rychlosti spojení od jednoho výrobce používajícího pfSense.

Jednou z nevýhod je bezesporu cena, která je u HW pro pfSense vyšší než například ceny RouterBoard desek pro MikroTik. Nevím přesně, jak je to s výkonem CPU a RAM u nějakých srovnatelných modelů.

Historie verzí

Během 12letého vývoje se pfSense patřičně proměnil. Bylo přídáno mnoho funkcí a různých rozšiřujících balíčků. Poslední verze 2.3.1 přinesla velké množství oprav a změn. Asi největší změnou je zcela nový vzhled GUI využívající Bootstrap framework. Web server lighttpd byl vyměněn za nginx. Pro rychlé nahlédnutí na pfSense 2.3 autoři připravili pěkné video. Mezi firewallová pravidla lze nově vkládat separátor pro přehledné oddělení pravidel. Dále se výrazně upravily možnosti konfigurace grafů. Změn je opravdu mnoho.

Starší verze pfSense tak trochu pokulhávaly s použitím aktuálního FreeBSD. To se od verze 2.2 výrazně posunulo. Aktuální pfSense 2.3.1 používá FreeBSD 10.3-RELEASE-p3 a ve svých opravách důsledně příjímá i opravy FreeBSD systému, což dříve též nebylo zvykem. Pokud se tedy objeví nějaká chyba ve FreeBSD Security Advisories, velmi brzo se opraví i verze pfSense.

Verze pfSense
Version 1.0 October 4, 2006
Version 2.0 September 17, 2011
Version 2.1 September 15, 2013
Version 2.2 January 23, 2015
Version 2.3 April 12, 2016

Jednou z velmi zajímavých vlastností pfSense je snadná možnost aktualizací sama sebe. Není tedy nutné nějak složitě provádět manuální výměny firmware. Vždy je nutné se držet instrukcí v Upgrade Guide.

Dashboard pfSense 2.2

Verze 2.2.x se barvila do červena a zavedla volitelný dashboard.

Dashboard pfSense 2.3

Verze 2.3.x přišla s již popisovanými novinkami. Menu zůstalo v zásadě stejné, proto se uživatelé neztratí při přechodu na novější verze.

Seznam základních vlastností a funkcionalit

Závěrem uvádím seznam vlastností projektu pfSense i s odkazy na dokumentaci.

Závěr

V dalším díle mini seriálu o pfSense se podíváme na možnosti instalace a práce s routerem na sériové konzoli. Dále si ukážeme další vybrané funkcionality, které pfSense umí.

Našli jste v článku chybu?

2. 6. 2016 8:29

Ono tam totiž opravdu není. :-( Po posledním upgrade zmizelo. Grrrr. Nevšiml jsem si žádných takových reakcí od čtenářů. Jdu opravit překlep a pak budu zlý.

3. 6. 2016 16:46

Samozřejmně že se jedná o WebGUI obdobné jako má kdejaký router, jakékoliv zažízení. Žádný X server v pfSense neni! Uvedl jsem GUI, protože v dokumentaci tuto zkratku běžně užívají.

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí