pfSense – opensource firewall/router

pfSense је бесплатна, Open Source и на FreeBSD систему заснована, firewall и router платформа популарна због своје поузданости, прегледног и јасног интерфејса и чињенице да укључује бројне функционалности које су карактеристичне за комерцијалне firewall/router производе.

Пројекат је настао 2004 године као дериват m0n0wall пројекта са идејом да се од њега разликује по могућности класичне инсталације на хард драјв рачунара и покретања са њега. Наиме, m0n0wall је embeded firewall софтвер који се у потпуности покреће и извршава у RAM меморији. Више информација о m0n0wall-у можете наћи овде .

pfSense
pfSense

ПРЕДСТАВЉАЊЕ И ИСТОРИЈАТ

Иза pfSense пројекта сада стоји компанија Electric Sheep Fencing, LLC која уз бесплатан производ нуди комерцијалну подршку у виду претплате на време обрачунато у сатима које инжињери подршке могу да посвете својим клијентима. Основни пакети омогућују 5 или 10 сати професионалне подршке са расположивошћу сервиса 24x7x365, односно у време када је клијентима то потребно.

О квалитету и популарности pfSense-а јасно говори и цифра од преко милион преузимања од момента публиковања софтвера, као и широка област примене – користи се за заштиту малих, кућних, пословних и SBS мрежних окружења, као и већих корпоративних окружења и разних организација. Богата листа функционалности која је доступна у основном паковању.

pf у називу pfSense потиче од Packet Filter алата који се користи за функцију firewall-а у FreeBSD као и другим BSD и Unix дистрибуцијама. Овде ћемо кратко навести основне информације: Packet Filter омогућује statefull firewall инспекцију, чија је основна предност у могућности препознавања стања конекције пакета чија се инспекцију врши. Statefull инспекција може да утврди статус TCP (или UDP) конекције пакета, да ли је у питању раније започета комуникација или новоиницирани саобраћај, као и да препозна детаље конекције на основу којих се доноси одлука о валидности пакета.

Statefull филтрирање, назива се и Dynamic Packet Filtering, а за разлику од њега, старији и једносавнији тип, stateless филтрирање манипулише искључиво статичким вредностима као што су изворна и циљна адреса, порт и сл. и на основу ових података stateless firewall доноси одлуку о валидности пакета. Оба типа филтрирања имају своје предности и мане, генерално stateless филтрирање омогућује боље перформансе (при већем оптерећењу саобраћаја) док statefull тип има боље резултате у детекцији нерегуларног саобраћаја.

pfSense – ИНСТАЛАЦИЈА И КОНФИГУРИСАЊЕ

Најбољи извор информација и локација за преузимање је, наравно матични сајт pfsense.org На располагању је Вики документација, страница са туторијалима, као и комерцијално pdf издање: pfSense The Definitive Guide. Оно што сведочи о посебној вредности је чињеница да када на youtube.com извршите претрагу по појму pfSense, добићете „око 675.000 резултата“ (на дан писања овог текста).

Навели смо да се pfSense може инсталирати на хард диск рачунара. Сем HDD инсталације, могуће је и покретање са Compact Flash картице (embedded опција) или са CD/DVD медијума, при чему је потребан USB или Floppy драјв за похрањивање конфигурационог фајла. Што се хардверске захтевности за регуларну HDD инсталацију тиче, потребан је минимум процесор Pentium II класе и 256GB RAM меморије. Избор хардвера у сваком конкретном случају, наравно зависи, пре свега од намене и будућег оптерећења rutera/firewall-a, а детаљнија упутства за димензионирање можете наћи на адреси: http://www.pfsense.org/hardware/index.html#sizing.

pfSense се без проблема може инсталирати и у виртуелном режиму, за контролисање саобраћаја и заштиту виртуелних машина у њиховој интерној мрежи или се може поставити ка спољњој физичкој мрежи, при чему је потребан додатни ethernet adapter.

Процес инсталације није компликован, у оквиру инсталације неопходно је дефинсати мрежне интерфејсе које ће систем користити, и то наменски као WAN, LAN и OPT (опциони, без дефинисане функције), а на располагању је и Auto Assign процедура, при чему се мора физички повезати активан линк и дозволити да га систем сам препозна. По инсталацији, WAN интерфејс је дифолтно конфигурисан као DHCP клијент, долазне конекције су онемогућене, као и SSH приступ, а WebGUI је доступан на порту 80.

WebGUI интерфејс је јасан и прегледан са могућношћу бирања предефинисаних тема у оквиру којих се мења и начин презентације менија (падајући менији или изборник у бочној траци).

pfSense graph

ФУНКЦИОНАЛНОСТИ И МОГУЋНОСТИ

Уколико вам је потребно решење за рутер и заштиту мање или средње пословне мреже, pfSense нуди сет стандардних функцоналности као што су рутирање, firewall филтрирање и заштита, DHCP сервер, Wireless Access Point, VPN приступ, анализа саобраћаја и др. Поред поменутих стандардних функција, на располагању је и сет напредних могућности, па ћемо овом приликом набројати само неке од њих:

  • p0f (passive OS/network fingerprinting) омогућује детекцију оперативног система који је иницирао конекцију, па је на основу ове информације омогућено и филтрирање. Нпр, дозволити Линукс или Mac станицама приступ ресурсима на интернету, а Виндовс станицама забранити и сл.
  • Multiple WAN, loud-balancing и флексибилне полисе за рутирање на одређени WAN gateway у складу са задатим правилом/филтером
  • Груписање и одговарајући алиаси за IP адресе, мреже и портове, ради лакше организације и прегледности правила/филтера
  • Транспарентно layer-2 филтрирање, на нивоу испод IP firewall-а и опција bridge интерфејса са филтрирањем саобраћаја
  • Напредне NAT опције: port forwarding, NAT 1:1, Outbound NAT и NAT Reflection
  • 3 опције за VPN конективност (IPsec, OpenVPN и PPTP), PPPoE сервер
  • Captive Portal за редирекцију корисника на веб страницу пре приступа интернету (форсирање аутентификације или ограничења, филтерима и правилима)
  • Напредан репортинг и мониторинг, могућност логовања саобраћаја у складу са било којим задатим правилом/филтером
  • pfSense Package Manager, систем за управљање додацима у оквиру WebGUI-а путем којег се проширују функционалности основне инсталације. Навешћемо само неке пакете са дугачке листе: Asterisk комуникациони сервер, AutoConfigBackup систем за енкриптовани бекап конфигурације, Bind name server, Cron schedule servis, TinyDNS dns server, File Manager, Antivirus и AntiSpam додаци, Squid proxy сервер, као и многи други сервиси, системски и управљачки алати.

На сајту Smallnetbuilder.com можете погледати занимљиву студију Build Your Own UTM With pfSense која веома сликовито приказује могућност примене pfSense-а као универзалног Threat Management уређаја UTM (Unified Threat Management) концепт претпоставља постављање једног уређаја на излазу/улазу локалне мреже, чија улога је да обједини све заштитне функције и обезбеди мрежу од, практично, свих врста претњи.

Концепт проширује функционалност firewall заштите и укључује антивирус и антиспам заштиту, филтрирање садржаја, load balancing, и друге заштитне функције у истом уређају, који на тај начин замењује више засебних заштитних уређаја. У тексту се наводи евалуација сваке посебне функционалности и оцена за pfSense у датој области, а следи и упутство за конфигурисање поменутих UTM функцконалности pfSense-а.

pfSense DHCP

ЗАКЉУЧАК

Чињеница да је pfSense бесплатан софтвер, уз квалитет којег поседује, чини га конкурентним и у друштву многих комерцијлних решења. Неретко су решења аналогна pfSense-у, у одређеним сегментима квалитетнија и боља, али када се узме у обзир однос цена/квалитет/ и, вероватно најважније, конкретне потребе окружења, није лако надмашити бесплатан софтвер који тако добро и поуздано ради свој посао.

Велики плус је обиље упутстава, туторијала и анализа, званичних и незваничних, па почетник са pfSense-ом може да очекује да ће се релативно лако снаћи при конфигурисању. Уколико вам је потребно решење за router/firewall за мању или средњу кућну или пословну мрежу, сигурни смо барем да нећете лако наћи боље решење.

Текст је преузет са угашеног блога ИТ модул и оригинални аутор овог текста је Бранислав Колар. Компјутераш ИТ блог објављује текстове са тог блога како ризница знања са те локације не би отишла у заборав.