pfsense logo

Czym jest?

pfSense

to znakomita odmiana dystrybucji FreeBSD, najczęściej wykorzystywana w roli firewalla i routera. Do pracy wymaga architektury i386, może pełnić funkcje firewalla, access pointa, DNSa, serwera DHCP, czy bramki VPN. Od pewnego czasu oferuje odświeżone GUI (graficzny interfejs użytkownika), co znacznie uprzyjemnia pracę z tym rozwiązaniem.

Strona producenta

Firewall

  • Filtrowanie po źródłowym i docelowym IP, protokole IP, źródłowym i docelowym porcie dla ruchu TCP i UDP
  • Limitowanie jednoczesnych połączeń
  • Wykrywanie systemów operacyjnych z użyciem p0f (advanced passive OS fingerprinting) w celach filtracji ruchu
  • Możliwość logowania (lub nie) ruchu odpowiadającego każdej z reguł
  • Elastyczna polityka routingu możliwa przez wybór bramy dla reguły (load balancing, redundancja, multi WAN i inne)
  • Aliasy pozwalające na zgrupowanie adresów IP, sieci i portów – bardzo ułatwia i porządkuje pracę administratorów
  • Przezroczysty firewall warstwy drugiej – mostkowanie interfejsów i filtrowanie ruchu między nimi, nawet bez wykorzystywania IP
  • Scrubbing – „normalizacja” pakietów, pozwala na składanie pofragmentowanych pakietów w locie, zabezpieczając niektóre systemy operacyjne przed różnymi formami ataków, odrzuca pakiety TCP z nieprawidłową kombinacją flag
    • domyślnie włączone w pfSense
    • istnieje możliwość wyłączenia w razie potrzeby – funkcjonalność może powodować problemy z niektórymi połączeniami NFS
  • Wyłączenie filtrowania – możliwość wyłączenia firewalla w pełni, kiedy tylko tego potrzebujesz

 

Tablica stanów

pfSense: personalizacja state tables

Większość firewalli nie posiada lub ma bardzo ubogą możliwość kontroli tablicy stanów. pfSense ma wiele udogodnień umożliwiających drobnostkową kontrolę tablicy stanów – jest to zasługa systemu FreeBSD, na której bazuje pfSense.

  • Regulowany rozmiar tablicy stanów – domyślny rozmiar tablicy dobierany jest automatycznie proporcjonalnie do wielkości pamięci RAM zainstalowanej w systemie, jednak może zostać zwiększona w locie do wybranego rozmiaru. Każdy stan zajmuje około 1KB w pamięci RAM.
  • Podstawy do tworzenia reguł:
    • limitowanie jednoczesnych połączeń
    • limitowanie stanów per host
    • limitowanie nowych połączeń na sekundę
    • definiowanie czasu trwania stanu
    • definiowanie rodzaju stanu
  • Rodzaje stanów – pfSense oferuje wiele opcji dla obsługi stanów:
    • Keep state – działa z wszystkimi protokołami. Domyślne dla wszystkich reguł
    • Sloppy state – działa z wszystkimi protokołami. Mniej restrykcyjny, użyteczny przy asymetrycznym routingu
    • Synproxy state – działa jako proxy dla przychodzących połączeń TCP, chroniąc serwery przed podsłuchami TCP SYN
    • None – nie przetrzymuje żadnych stanów dla ruchu sieciowego
  • Optymalizacja tablicy stanów – pfSense oferuje 4 opcje dla optymalizacji:
    • Normal – domyślny algorytm
    • High latency – pomocne dla łączy z dużym opóźnieniem, jak np. łącza satelitarne – wydłuża czas trwania połączeń
    • Aggressive – zakańcza połączenia znacznie szybciej, efektywniej używa zasoby, jednak może wystąpić odrzucanie spodziewanych połączeń
    • Conservative – stara się zapobiegać odrzucaniu spodziewanych połączeń kosztem zwiększonego zużycia CPU i pamięci RAM

NAT

Reguły NAT w pfSense Netgate

  • Przekierowania portów, włączając również zakresy i różne adresy IP
  • NAT 1:1 dla pojedynczych IP lub całych podsieci
  • NAT wychodzący
  • Odbicie NAT – dzięki czemu usługi z adresacji publicznej mogą być osiągane z wewnętrznych sieci

Wysoka dostępność

Kombinacja rozwiązań CARP i pfsync zapewnia funkcjonalność o wysokiej dostępności. Dwa lub więcej firewalli może zostać skonfigurowanych jako grupa failover. Gdy jeden z interfejsów odmówi posłuszeństwa, interfejs na drugim urządzeniu przejmuje jego rolę. pfSense zapewnia także synchronizację konfiguracji, zatem zmiany dokonane na pierwszym firewallu są odtwarzane także na drugim. Tablica stanów jest replikowana na wszystkie firewalle z grupy, oznacza to, że wszystkie trwające połączenia zostaną przejęte przez drugie urządzenie, co zapewni nieprzerwany dostęp do sieci.

Multi-WAN

Funkcjonalność pozwalająca na wykorzystanie wielu połączeń internetowych z użyciem load balancingu lub failover, dla zwiększonej wydajności i dystrybucji łącza.

 

Load Balancing

Load balancing wykorzystywany jest do dystrybuowania obciążenia między wieloma serwerami. Najczęściej jest wykorzystywane w przypadku serwerów webowych i pocztowych. Serwer, który przestanie odpowiadać na żądania ping, lub połączenia na porty TCP, jest usuwany z puli.

VPN

  • IPsec
    • IPsec pozwala na łączność z dowolnym urządzeniem wspierającym standard IPsec. Jest to najpopularniejszy ze standardów VPN, dostępny na większości open source’owych firewalli (m0n0wall i inne), a także w komercyjnych rozwiązaniach, jak Cisco czy Juniper.
  • OpenVPN
    • Elastyczne rozwiązanie SSL VPN wspierające szeroki zakres systemów operacyjnych
  • PPTP Server
    • PPTP był bardzo popularny, ponieważ niemal każdy OS posiada wbudowaną obsługę PPTP, wliczając w to wszystkie edycje Windowsa począwszy od 95 OSR2. Niestety, jest uznawany za niebezpieczny i nie powinien być używany.

 

serwer vpn

Serwer PPPoE

pfSense oferuje usługę serwera PPPoE. Lokalna baza danych użytkowników lub serwer RADIUS mogą być wykorzystane do weryfikacji użytkowników.

Raportowanie i monitorowanie

  • Wykresy RRD
    • Dzięki wykresom RRD w pfSense możliwy jest dostęp do historycznych danych:
      • zużycie CPU
      • całkowita przepustowość
      • stany firewalla
      • indywidualna przepustowość dla portów
      • liczba pakietów na sekundę dla portów
      • czasy odpowiedzi bramek WAN
      • kolejki ruchu, jeżeli wykorzystywany jest algorytm Traffic Shaping
  • Informacje w czasie rzeczywistym
    • Historyczne dane są ważne, jednak czasami bardziej pomocne mogą okazać się teraźniejsze statystyki
      • Wykresy SVG pokazują przepustowość w czasie rzeczywistym dla każdego interfejsu
      • Zegary w technologii AJAX pokazują w czasie rzeczywistym kolejkowanie ruchu
      • Na głównej stronie firewalla także są umieszczone zegary AJAX pokazujące realne zużycie CPU, pamięci, pliku wymiany i dysku, a także tablicy stanów

 

Dynamiczny DNS

Klient dynamicznego DNS pozwala na rejestrację publicznego IP u wielu z dostawców Dynamic DNS:

  • Custom – allowing defining update method for providers not specifically listed here.
  • DNS-O-Matic
  • DynDNS
  • DHS
  • DNSexit
  • DyNS
  • easyDNS
  • freeDNS
  • HE.net
  • Loopia
  • Namecheap
  • No-IP
  • ODS.org
  • OpenDNS
  • Route 53
  • SelfHost
  • ZoneEdit

Klient ma także możliwość aktualizacji DNS RFC 2136 z użyciem serwerów DNS takich, jak BIND.

Captive Portal

Wymusza autoryzację użytkownika przed uzyskaniem dostępu do sieci za pomocą specjalnego portalu do weryfikacji danych. Takie rozwiązanie znane jest np. z ogólnodostępnych hot spotów Wi-Fi.

 

DHCP

pfSense oferuje także rozwiązanie serwera DHCP.

Rozwiązanie pfSense jest dostępne za pośrednictwem naszej firmy

  • Oficjalne, gotowe urządzenie z zainstalowanym oprogramowaniem pfSense

Zapraszamy do kontaktu celem wyceny indywidualnego rozwiązania dla Państwa.