Сформовано реліз дистрибутива для створення міжмережевих екранів OPNsense 23.1, який є відгалуженням від проекту pfSense, створеним з метою сформувати повністю відкритий дистрибутив, який міг би мати функціональність на рівні комерційних рішень для розгортання міжмережевих екранів та мережевих шлюзів. На відміну від pfSense, проект позиціонується як непідконтрольний одній компанії, що розвивається за безпосередньої участі співтовариства і має повністю прозорий процес розробки, а також надає можливість використання будь-яких своїх напрацювань у сторонніх продуктах, у тому числі комерційних. Вихідні тексти компонентів дистрибутива, а також інструменти, що використовуються для складання, поширюються під ліцензією BSD. Складання підготовлено у формі LiveCD та системного образу для запису на Flash-накопичувачі (399 МБ).
Базова начинка дистрибутива ґрунтується на коді FreeBSD. Серед можливостей OPNsense можна виділити повністю відкритий складальний інструментарій, можливість встановлення у формі пакетів поверх звичайного FreeBSD, засоби балансування навантаження, web-інтерфейс для організації підключення користувачів до мережі (Captive portal), наявність механізмів відстеження станів з'єднань (stateful firewall на основі pf), завдання обмежень пропускної спроможності, фільтрація трафіку, створення VPN на базі IPsec, OpenVPN та PPTP, інтеграція з LDAP та RADIUS, підтримка DDNS (Dynamic DNS), система наочних звітів та графіків.
У дистрибутиві надаються засоби створення стійких до відмови конфігурацій, заснованих на використанні протоколу CARP і дозволяють запустити крім основного міжмережевого екрану запасний вузол, який буде автоматично синхронізований на рівні конфігурації і прийме на себе навантаження в разі збою первинного вузла. Для адміністратора пропонується сучасний і простий інтерфейс для налаштування міжмережевого екрану, побудований за допомогою web-фреймворку Bootstrap.
Серед змін:
- Перенесено зміни із гілки FreeBSD 13-STABLE.
- Оновлено версії додаткових програм з портів, наприклад, php 8.1.14 та sudo 1.9.12p2.
- Додано нову реалізацію списку блокування на основі DNS, переписану мовою Python і підтримує різні списки блокування реклами та шкідливого вмісту.
- Забезпечено накопичення та відображення статистики про роботу DNS-сервера Unbound, що дозволяє відстежувати DNS-трафік у прив'язці до користувачів.
- Додано новий тип міжмережевих екранів BGP ASN.
- Доданий ізольований режим PPPoEv6 для вибіркового включення IPv6 Control Protocol.
- Додано підтримку WAN-інтерфейсів SLAAC без DHCPv6.
- На MVC-фреймворк переведені компоненти для захоплення пакетів і керування IPsec, що дозволило реалізувати підтримку керування через API.
- Налаштування IPsec перенесено до файлу swanctl.conf.
- До складу включено плагін os-sslh, що дозволяє мультиплексувати підключення HTTPS, SSH, OpenVPN, tinc та XMPP через один мережевий порт 443.
- У плагіні os-ddclient (Dynamic DNS Client) з'явилася можливість використання власних бекендів, включаючи Azure.
- Плагін os-wireguard з VPN WireGuard переведено за замовчуванням на використання модуля ядра (старий режим роботи на рівні користувача винесено в окремий плагін os-wireguard-go).
Джерело: opennet.ru