Опубликован релиз дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense CE 2.8.0 (Community Edition). Дистрибутив основан на кодовой базе FreeBSD с задействованием наработок проекта m0n0wall и пакетного фильтра pf. Для загрузки подготовлен iso-образ для архитектуры amd64.
Управление дистрибутивом производится через web-интерфейс. Для организации выхода пользователей в проводной и беспроводной сети может быть использован Captive Portal, NAT, VPN (IPsec, OpenVPN) и PPPoE. Поддерживается широкий спектр возможностей по ограничению пропускной способности, лимитирования числа одновременных соединений, фильтрации трафика и создания отказоустойчивых конфигураций на базе CARP. Статистика работы отображается в виде графиков или в табличном виде. Поддерживается авторизация по локальной базе пользователей, а также через RADIUS и LDAP.
Основные изменения:
- Компоненты базовой системы обновлены до FreeBSD 15-CURRENT. Обновлена версия PHP 8.3.
- Переписан интерфейс пользователя для использования бесплатного сервиса ACB (Automatic Configuration Backup), позволяющего автоматически сохранять резервные копии настроек в облачном хранилище Netgate (резервные копии передаются в зашифрованном виде). Добавлена возможность смены ключа устройства, применяемого для шифрования.
- Предложен новый бэкенд для протокола PPPoE, основанный на модуле ядра if_pppoe и демонстрирующий более высокую пропускную способность при передаче данных через сетевой интерфейс PPPoE. При этом if_pppoe отстаёт по функциональности, например, не поддерживает MLPPP. В настоящее время новый бэкенд отключён по умолчанию, но в будущих выпусках заменит старый бэкенд на базе пакета MPD.
- Изменены правила обработки состояний соединений в межсетевом экране (State Policy). Вместо режима Floating по умолчанию задействован режим Interface Bound, при котором состояние соединения привязано к сетевому интерфейсу и попытки передачи пакета через другой сетевой интерфейс блокируются. При использовании IPsec VTI осуществляется откат на режим Floating, так как привязка к сетевым интерфейсам в этом случае создаёт проблемы.
- Реализован Fail-Back режим для шлюзов, при котором сбрасывается состояние привязки к вторичным шлюзам после восстановления первичного шлюза.
- Задействованы дополнительные возможности DHCP-сервера Kea, позволившие добиться паритета в функциональности с ISC DHCP. Добавлена поддержка регистрации и обновления записей в DNS о именах хостов клиентов DHCP. Реализовано расширение DHCPv6 Prefix Delegation. Появилась возможность запуска синхронизированных запасных DHCP-серверов для обеспечения высокой доступности (High Availability), упрощена настройка отказоустойчивых конфигураций. Добавлена поддержка статических ARP-адресов. Предоставлена возможность изменения настроек Kea, не охваченных графическим интерфейсов, используя блоки в формате JSON.
- Обеспечена полная поддержка NAT64, позволяющая клиентам, имеющим только адреса IPv6, обращаться к хостам, использующим IPv4.
- Добавлена возможность использования в пользовательских правилах межсетевого экрана системных шаблонов, ранее применимых только во внутренних правилах. Добавлены новые шаблоны для выделения зарезервированных и специализированных подсетей.