Die OPNsense 23.1-Firewall-Distribution wurde veröffentlicht, eine Abzweigung des pfSense-Projekts, die mit dem Ziel erstellt wurde, eine vollständig offene Distribution zu schaffen, deren Funktionalität auf dem Niveau kommerzieller Lösungen für die Bereitstellung von Firewalls und Netzwerk-Gateways liegen könnte. Im Gegensatz zu pfSense ist das Projekt so positioniert, dass es nicht von einem Unternehmen kontrolliert wird, unter direkter Beteiligung der Community entwickelt wird und über einen völlig transparenten Entwicklungsprozess verfügt sowie die Möglichkeit bietet, alle seine Entwicklungen in Produkten von Drittanbietern, auch kommerziell, zu nutzen Einsen. Die Quelltexte der Distributionskit-Komponenten sowie die zum Erstellen verwendeten Tools werden unter der BSD-Lizenz vertrieben. Die Baugruppen werden in Form einer LiveCD und eines Systemimages zum Schreiben auf Flash-Laufwerke (399 MB) vorbereitet.
Das Kernmaterial der Distribution basiert auf dem FreeBSD-Code. Unter den Funktionen von OPNsense kann man ein vollständig offenes Assembly-Toolkit, die Möglichkeit zur Installation in Form von Paketen über reguläres FreeBSD, Lastausgleichstools, eine Webschnittstelle zum Organisieren der Benutzerverbindung zum Netzwerk (Captive-Portal) und die Präsenz hervorheben von Mechanismen zum Verfolgen von Verbindungszuständen (Stateful Firewall basierend auf PF), Festlegen von Bandbreitenbeschränkungen, Verkehrsfilterung, Erstellen eines VPN basierend auf IPsec, OpenVPN und PPTP, Integration mit LDAP und RADIUS, Unterstützung für DDNS (Dynamic DNS), ein visuelles System Berichte und Grafiken.
Die Distribution bietet Tools zum Erstellen fehlertoleranter Konfigurationen basierend auf der Verwendung des CARP-Protokolls und ermöglicht Ihnen den Betrieb eines Ersatzknotens zusätzlich zur Hauptfirewall, der automatisch auf Konfigurationsebene synchronisiert wird und im Falle eines Ausfalls die Last übernimmt Ausfall des Primärknotens. Dem Administrator wird eine moderne und einfache Schnittstelle zur Konfiguration der Firewall angeboten, die auf dem Bootstrap-Webframework basiert.
Zu den Änderungen gehören:
- Portierte Änderungen aus dem FreeBSD 13-STABLE-Zweig.
- Aktualisierte Versionen zusätzlicher Programme von Ports, zum Beispiel PHP 8.1.14 und Sudo 1.9.12p2.
- Es wurde eine neue DNS-basierte Blocklistenimplementierung hinzugefügt, die in Python neu geschrieben wurde und verschiedene Blocklisten für Werbung und bösartige Inhalte unterstützt.
- Es wurde eine Sammlung und Anzeige von Statistiken über den Betrieb des Unbound-DNS-Servers bereitgestellt, die es Ihnen ermöglicht, den DNS-Verkehr in Bezug auf Benutzer zu verfolgen.
- Ein neuer Firewall-Typ BGP ASN hinzugefügt.
- Isolierter PPPoEv6-Modus hinzugefügt, um das IPv6-Steuerungsprotokoll selektiv zu aktivieren.
- Unterstützung für SLAAC-WAN-Schnittstellen ohne DHCPv6 hinzugefügt.
- Die Komponenten zur Paketerfassung und IPsec-Verwaltung wurden in das MVC-Framework überführt, wodurch die Unterstützung der Verwaltung per API darin implementiert werden konnte.
- IPsec-Einstellungen wurden in die Datei swanctl.conf verschoben.
- Das os-sslh-Plugin ist enthalten, um das Multiplexen von HTTPS-, SSH-, OpenVPN-, tinc- und XMPP-Verbindungen über einen einzigen Netzwerkport 443 zu ermöglichen.
- Das os-ddclient-Plugin (Dynamic DNS Client) bietet jetzt die Möglichkeit, eigene Backends, einschließlich Azure, zu verwenden.
- Das Plugin os-wireguard mit VPN WireGuard wurde standardmäßig auf die Verwendung des Kernel-Moduls umgestellt (der alte Betriebsmodus auf Benutzerebene wurde in ein separates Plugin os-wireguard-go verschoben).
Source: opennet.ru