Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties
Bron: pfSense Digest, submitter: Starck

pfSense logo (75 pix) Er is een update voor versie 2.2 van pfSense is uitgekomen. Dit pakket is gebaseerd op het besturingssysteem FreeBSD en richt zich op router- en firewall-taken. Het is in 2004 begonnen als een afsplitsing van m0n0wall vanwege verschillende visies bij de ontwikkelaars en in de loop van de jaren uitgegroeid tot een router- en firewallpakket dat in zowel kleine als zeer grote omgevingen kan worden ingezet. Voor meer informatie verwijzen we naar deze pagina. De changelog voor pfSense 2.2.6 ziet er als volgt uit:

Security Fixes and Errata Bug Fixes and Change List

pfSense screenshot (620 pix)

Versienummer:2.2.6
Releasestatus:Final
Besturingssystemen:BSD
Website:pfSense Digest
Download:https://www.pfsense.org/download/
Licentietype:Voorwaarden (GNU/BSD/etc.)
Moderatie-faq Wijzig weergave

Reacties (18)

Eigenlijk wat geschrokken van de vurnabilities, gelukkig zijn ze gefixt. En het is niet dat router fabrikanten het veel beter doen xD Als ik genoeg hardware had liggen had ik al lang een pfsene boxje gebouwt maar het is wat duur als ik alle onderdelen nog moet kopen.

[Reactie gewijzigd door GoldenBE op 23 december 2015 18:11]

Hoezo? Je kan de hele webgui standard niet eens vanaf internet benaderen en alleen maar local. Als je de webgui via internet benaderbaar maakt ben je zowieso al niet al te snugger bezig.
PfSense wordt veel gebruikt voor captive portals in kleinere bedrijfjes (zo'n pagina waar je moet inloggen of een code moet invoeren voordat je een publiek wifi netwerk op kan). Die SQL injection bug is dan levensgevaarlijk.

De webgui is ook standaard via alle vlans/LAN networks te benaderen tenzij je specifiek er iets aan doet. Dat is inclusief de vlan voor je publieke captive portal netwerkje.
De webgui is standaard alleen via LAN benaderbaar d.m.v. de anti-lockout rule! Nieuwe interfaces zul je zelf regels voor aan moeten maken.

edit: er zit standaard ook een 'allow any' op het LAN

[Reactie gewijzigd door mcchicken op 23 december 2015 20:40]

Misschien ligt het dan aan mij :P maar als ik niks doe dan gaan mijn andere LAN interfaces gewoon toegang geven tot de webgui. Ik heb specifiek poorten 80, 443 en 8000 (op niet-captive portal lans) moeten blokkeren om dit uit te schakelen.

Op je primaire LAN heb je (als je dit niet uitzet) inderdaad de anti-lockout rule die altijd bovenaan staat. Maar die voorkomt dat je de toegang tot de webgui perongeluk blokkeerd via een andere rule. Als je die uitzet heb je gewoon toegang tenzij je een block of reject rule aanmaakt..... toch?
Op een nieuwe interface zit geen regel dus alles is block.

Maar je moet een regel aanmaken om te internetten dus zet je wat open en dus ook naar je firewall (GUI). Wees er dus altijd bewust van wat je open zet.

Ik zou op een 'gasten' netwerk beginnen met 1 allow regel voor DNS en evt. NTP naar buiten en/of je firewall. Daarna BLOCK alle RFC1918 adressen zodat je ook toekomstige interfaces afgeschermd hebt en die niet per ongeluk vergeet te blokkeren. Als alles dicht staat naar je LAN interfaces en segmenten kun je alles open gooien naar buiten :)
Zonder firewall regel routeert ie niks. Maar aangezien de webgui gewoon luistert op het ip van dat subnet op die lan interface hoeft ie niks te routeren.
Ben nu ook bezig met een Pfsense projectje. Ik gebruik er een Watchguard XTM 505 voor, misschien is dat ook iets voor jou? :)
Een PC Engines bordje volstaat prima voor de gemiddelde thuis gebruiker of kleine kantoren. Als je meer nodig hebt kun je ook zelf een systeem samen stellen met b.v. een Super Micro 1u rack servertje.
Ja dat is inderdaad wel zo. Ik had het geluk dat mijn Watchguard gratis was. :D
Als de webgui niet via internet te benaderen is, was er niks aan de hand bij pfSense.
Dan zet je dit toch gewoon uit? d.m.v het veranderen van de poort, en een firewall rule kan je al het verkeer zo blokkeren :)
Yup, dat zeg ik toch? :/
Hoe verhoudt zo'n pfSense zich tot IPCop?
Die laatste gebruik ik zelf al jaren, en heb ik nooit echt problemen mee gehad.
Ik heb wel het idee dat de ontwikkeling daar wat stil staat (geen IPV6 bv - hoe zit dat met pfSense?)

bv tussen de laatste update van IPCop (2.1.9 van 23 feb 2015) en vandaag zijn er 6 updates van pfSense uitgekomen.

Ik heb me dus wel eens afgevraagd of ik mijn iPCop niet beter door pfSense ofzo zou vervangen maar om een of andere reden komt het er nooit van.
(Of eventueel een ander produkt...)

Heeft er iemand ervaring met beide produkten om daar een goed advies over tegeven (bij vergelijkingen elders kom ik voornamelijk fanboys van het ene of het andere tegen, heb zelden echt goeie argumenten gehoord)

[Reactie gewijzigd door tc-t op 23 december 2015 19:15]

Bij mijn oude werkgever hadden we beide in gebruik waarbij ik wel moet zeggen dat IPCop toen nog op versie 1 was en hetzelfde voor PfSense. Daarbij had ik altijd de indruk dat pfsense vele malen makkelijker te beheren was dan ipcop omdat voor sommige dingen je echt op de shell moest zijn om de aanpassingen te doen.

Voor zover bekend is er nu alleen nog maar pfsense in gebruik omdat de ipcop's gewoon te lastig in onderhoud waren hierdoor.

Zelf gebruik ik bij mijn huidige werkgever ook gewoon weer pfsense voor het gemak ervan.
Geen ervaring met IPCop, wel met pfSense. Je specifieke vraag kan beantwoorden: pfSense werkt prima met IPv6. Op mijn werk hebben we hem draaien met een IPv6 tunnel. Eenvoudig te configureren en goed te beheren. Net als alles met pfSense overigens; krachtig maar toch eenvoudig te beheren. Wmb een aanrader.
pfsense is bsd based en werkt op bsd´s packet filter : http://pfsensesetup.com/packet-filter-the-engine-of-pfsense/

dus pfsense is bsd met packet filter vs ipcop wat op linux draait. Zijn letterlijk compleet verschillende systemen.
Deze update plet inderdaad wat bugs die in 2.2.5 zijn geintroduceerd v.w.t. IPsec authenticatie afhandelingen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True