Archive for październik, 2009

pfSense on nokia ip 130

sobota, 10 października, 2009

O pfSense

   pfSesne jest to system bazujący na FreeBSD. Stworzony z myślą o pracy jako firewall lub router. W 2004 roku powstał jako fork m0n0wall. Obecnie developerzy przepisali go od początku. Optymalizując kod oraz likwidując różne bolączki.
pfSense to wyspecjalizowany firewall z funkcjami dorównywającymi profesjonalnym komercyjnym produktom. Pełną listę możliwości można znaleść na stronie projektu http://pfsense.org/index.php?option=com_content&task=view&id=40&Itemid=43

   Większość korporacyjnych firewalli takich jak Nokia IP , Cisco PIX/ASA, Big IP, Juniper Netscreen to wyspecjalizowane pcety z zainstalowanym linux lub FreeBSD. Producenci tych urządzeń często pobierają od klientów roczną opłatę za wsparcie techniczne i nowy software. Po pewnym czasie zaprzestają wsparcia swoich produktów i proponują zakup nowych rozwiązań.

   pfSense jest idealną alternatywą dla tych co chcą wykorzystać swoje stare urządzenia takie jak wyspecjalizowane firewall czy też stare serwery lub po prostu stacje robocze. Przy odrobinie fantazji można go zainstalować na większości urządzeń zgodnych z architekturą x86. Na forum projektu pojawiły się już informację na temat zastępowania wysłużonych Cisco PIX nowym pfSense. Dla użytkowników chcących mieć pewność ,że ich firewall będzie działał jak należy projekt oferuje komercyjne wsparcie techniczne.

   Od paru tygodni jestem posiadaczem Noki IP 130. Ponieważ już wcześniej wykorzystywałem pfSense do licznych projektów bez wachania zainstalowałem je na mojej nowej zabawce.

Procedura instalacji

   Procedura instalacji jest dość prosta gdyż w noki jest zainstalowany dysk 2,5 cala. Po wymontowaniu jego i podłączeni do standardowego pc możemy na nim zainstalować system z tzw live-cd.
W najnowszej wersji pfsense 1.2.3:

Podczas instalacji z live-cd trzeba pamiętać aby wybrać wersję systemu Embeded – brak klawiatury myszki i monitora.

W zależności od tego czy podczas instalacji dysk był podłączony do złącza pata czy usb, po instalacji należy edytować plik /etc/fstab. Tak ,żeby wskazywał na właściwe partycję, w moim przypadku

/dev/ad0s1a oraz /dev/ad0s1b. 

Po takiej procedurze możemy włożyć dysk z powrotem do noki i uruchomić pfsense.

Problemy

   Na urządzeniu nokia ip 130 testowałem pfSense 1.2.1 1.2.2 1.2.3rc3 1.2.3. Wszystkie te wersjie chodzą bez większych problemów. Jedyny mankament jaki zauważyłem to to ,że po naciśnięciu reboot przez gui urządzenie nie bootuje się z powrotem. Po wykonaniu komendy reboot w konsoli wszystko przebiega bez zarzutu.

UPDATE: pfSense 2.0 na urządzeniach nokia ip 120 i nokia ip 130 nie jest wstanie się zrestartować. Bug został potwierdzony na forum pfsense oraz na innej stronie.Od roku nie został rozwiązany. Obecnie wydanie polecenia reboot jest tożsame z wydanie polecenia shutdown. Po wyłączeniu urządzenia z prądu i ponownym podłączeniu system bez problemu startuje. Uwaga problem dotyczy tylko wybranej platformy!!

Wady

  • Zawiera sporo ciekawych funkcji dodatkowych niestety większość w fazie alpha/beta.

Zalety

  • Darmowy
  • Komercyjne wsparcie
  • Chodzi na większości plaform x86
  • Wspiera dynamiczne protokoły routingu.
  • Od niedawna posiada wsparcie dla Voice over IP oraz IDS/IPS Snort z możliwością pobranie dedykowanych reguł dla ruchu głosowego.

Podsumowując jeśli twojej firmy nie stać na Cisco ASA lub nie jesteś pewien jaki produkt zakupić spróbuj najpierw pfSense. Warto !