Blog elhacker.NET: OPNsense: un potente router y firewall gratuito

OPNsense: un potente router y firewall gratuito

viernes, 15 de noviembre de 2024 | Publicado por el-brujo | Editar entrada

En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido del deseo de innovación y funcionalidad mejorada, OpnSense ha obtenido rápidamente reconocimiento por sus sólidas funciones y su interfaz fácil de usar. Este artículo profundizará en el sencillo proceso de instalación y lo guiará a través de los pasos de configuración inicial esenciales para desbloquear todo el potencial de su firewall OpnSense.

Opnsense: VPN, IDS/IPS, Firewall y mucho más…

OPNsense es un completo sistema operativo, de código abierto, y orientado específicamente para usarlo como router y como firewall en nuestra red doméstica o empresa. OPNsense incorpora de manera completamente gratuita, una grandísima cantidad de opciones de configuración que solo los firewall comerciales más caros tienen.

¿Qué funciones tiene OPNsense?

Router
Firewall (Packet Filter)
IDS/IPS (Suricata, Crowdsec, Zenarmor)
Control avanzado ancho de banda
Servidor DNS, DCHP, etc
Panel de administración vía web
API
Gráficas y Monitorización recursos red
Multi WAN (Balanceo y FailOver)

pfSense, un sistema operativo basado en FreeBSD orientado a firewall y a router, OPNsense es un fork de este sistema operativo pfSense y también de m0n0wall. Por este motivo, OPNsense también está basado en el sistema operativo FreeBSD. El equipo de desarrollo de este proyecto ha centrado muchos esfuerzos en la seguridad del sistema y también en hacer un código fuente legible, con el fin de detectar fallos mucho más rápido.

Basado en el robusto sistema operativo FreeBSD, OpnSense se presenta como un firewall versátil de código abierto, disponible para su instalación en su hardware o como dispositivos preconfigurados de Decisio.

Los modestos requisitos del sistema de OpnSense lo hacen notablemente adaptable, permitiendo que incluso una computadora doméstica más antigua se transforme en un firewall capaz. Como mínimo, basta con una CPU de 500 Mhz, 1 GB de RAM, 4 GB de almacenamiento y dos tarjetas de interfaz de red.

Sin embargo, para una experiencia óptima y desbloquear todo el potencial de OpnSense, considere una CPU de 1 GHz, 1 GB de RAM, 4 GB de almacenamiento y dos o más tarjetas de interfaz de red PCI-e. Esta configuración garantiza un funcionamiento más fluido, especialmente cuando se aprovechan funciones avanzadas como Suricata, ClamAV o servicios VPN.

Instalación de OpnSense

Configurar su firewall OpnSense es sencillo, independientemente del hardware elegido. Sin embargo, es fundamental planificar y determinar cuidadosamente las funciones específicas de los puertos de interfaz de red (LAN, WAN, inalámbrica, etc.) para garantizar un funcionamiento sin problemas.

Durante la instalación, se le pedirá que configure sus interfaces LAN y WAN. Para agilizar este proceso, se recomienda conectar inicialmente solo la interfaz WAN. Una vez que OpnSense esté configurado, podrá conectar de forma segura la interfaz LAN para finalizar la instalación. Este enfoque garantiza un proceso de configuración centrado y minimiza los conflictos potenciales.

OPNsense Core Features

Traffic Shaper
Captive portal
- Voucher support
- Template manager
- Multi zone support
Forward Caching Proxy
- Transparent mode supported
- Blacklist support
Virtual Private Network
- Site to site
- Road warrior
- IPsec
- OpenVPN
High Availability & Hardware Failover
- Includes configuration synchronization & synchronized state tables
- Moving virtual IPs
Intrusion Detection and Inline Prevention
- Built-in support for Emerging Threats rules
- Simple setup by use of rule categories
- Scheduler for period automatic updates
Built-in reporting and monitoring tools
- System Health, the modern take on RRD Graphs
- Packet Capture
- Netflow
Support for plugins
DNS Server & DNS Forwarder
DHCP Server and Relay
Dynamic DNS
Backup & Restore
- Encrypted cloud backup to Google Drive and Nextcloud
- Configuration history with colored diff support
- Local drive backup & restore
Stateful inspection firewall
Granular control over state table
802.1Q VLAN support
and more…

Características Principales de OPnsense

Entre algunas de sus características, se destaca:

Firewall: Reglas flexibles para el control de tráfico con soporte para NAT (Network Address Translation).
VPN: Soporte para diversas tecnologías de VPN, como IPsec y OpenVPN.
IDS/IPS: Sistemas de detección y prevención de intrusiones integrados.
Balanceo de Carga y Failover: Gestión de múltiples conexiones WAN.
Interfaz Web: Interfaz gráfica de fácil uso para configuración y monitoreo.

¿Qué características incorpora este firewall?

Algunas de las características más importantes de este sistema operativo son las siguientes:

Traffic Shaper
Permite la autenticación con dos factores para iniciar sesión en la administración del sistema.
Portal cautivo para el inicio de sesión de los usuarios, ideal para redes Wi-Fi de invitados en nuestro hogar o empresa
Proxy caché transparente con soporte para lista negra
VPN: incorpora tanto los modos site to site como road warrior, además, es compatible con IPsec y OpenVPN. Asimismo también incorpora compatibilidad con PPTP aunque no es recomendable su uso.
Tiene la opción de HA (High Availability) y hardware failover, para que en caso de caída de un firewall automáticamente entre el siguiente
Incorpora un IDS (sistema de detección de intrusiones) y también IPS (sistema de detección de intrusiones).
Servidor DNS, DNS Forwarder, DHCP server, DHCP relay, Dynamic DNS etc.
Permite ver gráficos del tráfico en tiempo real, exportar los datos a un servidor remoto, guardar la configuración cifrada y subirla a Google Drive e incluso podremos instalar plugins para aumentar el número de opciones disponibles.
Soporta el estándar 802.1Q VLAN para segmentar la red adecuadamente

OPNSense permite establecer la prioridad de la VLAN si es necesario para fines de calidad de servicio (QoS).OPNsense admite 8 tipos de prioridad de VLAN diferentes:

Best Effort (0, por defecto): Esta es la prioridad por defecto. El tráfico con esta prioridad será tratado por igual, independientemente del tipo de tráfico.
Background (1, la más baja)
Excellent Effort (2)
Critical applications (3)
Vídeo (4): Esta prioridad se utiliza para el tráfico de vídeo. Tendrá mayor prioridad que el tráfico de Excelente Esfuerzo y Voz, para que no se interrumpa la transmisión de vídeo.
Voz (5): Esta prioridad se utiliza para el tráfico de voz. Tendrá mayor prioridad que el tráfico Best Effort, para que las llamadas de voz no se vean interrumpidas por otros tipos de tráfico.
Control de red (6): Esta prioridad se utiliza para controlar el tráfico. Se utiliza para protocolos como DHCP, DNS y NTP. Tendrá mayor prioridad que el tráfico Best Effort, Voz y Vídeo para que estos protocolos puedan funcionar correctamente.
Control de red (7): Esta prioridad se utiliza para el tráfico de control de red. Se utiliza para protocolos como enrutamiento y conmutación. Tendrá mayor prioridad que el tráfico de Mejor Esfuerzo, Voz, Vídeo y Control para que estos protocolos puedan funcionar correctamente.

Actualizaciones en OPNsense y descarga

Según los desarrolladores de este sistema operativo, el equipo de desarrollo ofrece semanalmente actualizaciones de seguridad, y dos veces al año ofrece una versión nueva completa con una gran cantidad de cambios en su interior. Podemos descargar OPNsense directamente desde los mirrors que hay en la página de descargas, actualmente la última versión es la 17.1 y está disponible para arquitecturas amd64 y i386. Bloquear Internet con un firewall en Windows y evitar que se conecten los programas es sencillo.

Os recomendamos acceder a la página web oficial de OPNsense, donde encontraréis toda la información sobre este completo sistema operativo orientado a router y firewall. Una de las cosas que más nos ha gustado de este proyecto es que existe mucha documentación en su wiki, ideal para la puesta en marcha del equipo rápidamente.

Monitoreo (estadísticas)

Reporting => NetFlow Habilitar , Marcar Listen Interfaces (WAN y VPN) Marcar Local (si no no salen las graficas en Insight) Apply (Los registros (logs) se guardan en /var/log/netflow
Reporting => Insight

Insight - Netflow Analyzer

Netflow es una característica de monitorización, inventada por Cisco, está implementada en el kernel de FreeBSD con ng_netflow (Netgraph). Dado que Netgraph es una implementación del kernel es muy rápida con poca sobrecarga comparada con softflowd o pfflowd.

Mientras que muchas soluciones de monitorización como Nagios, Cacti y vnstat sólo capturan estadísticas de tráfico, Netflow captura flujos completos de paquetes incluyendo origen, IP de destino y número de puerto.

NetFlow es un protocolo de monitorización de red creado por Cisco para recopilar información sobre el tráfico IP que se mueve a través de los dispositivos de red, incluyendo routers, switches y hosts.

NetFlow es una tecnología unidireccional, lo que significa que cuando el servidor responde a la primera solicitud del cliente, se genera un nuevo registro de flujo en la dirección opuesta. Al examinar los datos de NetFlow, puede obtener un conocimiento profundo del rendimiento de su red e identificar información clave como el origen y el destino del tráfico, la calidad del servicio y los factores que contribuyen a la congestión.

Los datos de flujo de tráfico informan a los informáticos de una empresa sobre la cantidad de tráfico, de dónde viene y a dónde va, y qué vías se están utilizando. Estos datos de tráfico de red se recopilan y utilizan para realizar un seguimiento del uso a lo largo del tiempo, identificar problemas y planificar actualizaciones. NetFlow es una técnica unidireccional, por lo que cuando el servidor responde a la primera solicitud del cliente, el proceso se invierte y genera un nuevo registro de flujo. Utilizando una herramienta de monitorización de NetFlow, puede monitorizar y analizar fácil y eficazmente los registros de flujo para el tráfico de red.

Reporting Traffic

System Health & Round Robin Data

Reporting Health

Packets per second (pps)

pf ver reglas cortafuegos (packet filter )

https://man.openbsd.org/pfctl
https://www.openbsd.org/faq/pf/ https://www.cyberciti.biz/faq/howto-pf-firewall-list-firewall-rules/

Packet Filter, también conocido como PF o pf, es un filtro de paquetes con estado con licencia BSD utilizado para filtrar tráfico TCP/IP y realizar Traducción de Direcciones de Red (NAT). Originalmente creado por OpenBSD, PF ha sido portado a FreeBSD desde 5.3-RELEASE.

(Log packets): Los registros del firewall en /var/log/filter

La utilidad pftop es una herramienta para ver rápidamente la actividad del cortafuegos en tiempo real; se puede instalar e iniciar con:

pkg install pftop

pftop

firewall state table:

pfctl -ss

filter stats and counters:

pfctl -si

current firewall rules

pfctl -sr

Mostrar todo

pfctl -sa

otros comandos

pfctl -sr / pfctl -s rules / pfctl -a '*' -sr

pfctl -s info

Debugging OPNsense

OPNsense dispone de excelentes herramientas para depurar y solucionar problemas.

Red:

tcpdump
netstat
ifconfig

Sistema

dmesg
pciconf
top
vmstat
systat
truss

Parámetros

En Opnsense nos vamos a Sistema - Ajustes - Miscelánea

Filename: 1.png
Size: 262,4 KB
16-03-2023, 12:54 PM

Activamos Usar PowerD y configuramos todos los parámetros en Máximo. Lo que se consigue con esto es que el procesador del sistema en el que esté instalado Opnsense esté siempre funcionando al máximo rendimiento. No confundir velocidad con uso, la actividad del procesador en Opnsense es mínima en la mayoría de las ocasiones y con este ajuste lo que se consigue es que en los períodos de actividad funcione a la máxima velocidad.

NAT

La traducción de direcciones de red es el proceso de asignar una dirección [de Protocolo de Internet (IP)] a otra modificando la cabecera de los paquetes IP mientras están en tránsito a través de un router. Como parte de esta técnica, la configuración NAT puede exponer sólo una dirección IP para toda una red al mundo exterior, enmascarando eficazmente toda la red interna y aumentando la seguridad. La traducción de direcciones de red se utiliza ampliamente en escenarios de acceso remoto porque conserva las direcciones a la vez que aumenta la seguridad. Esto mejora la seguridad a la vez que reduce el número de direcciones IP que necesita una empresa.

La traducción de direcciones de red (NAT) es un método para separar las redes externas de las internas (WAN y LAN) y compartir una dirección IP externa entre los clientes de la red interna. NAT puede utilizarse tanto en redes IPv4 como IPv6. La Traducción de Prefijos de Red también está disponible para IPv6.

Tipos de NAT en OPNsense

BINAT: NAT suele funcionar en una sola dirección. Pero, si tus redes tienen el mismo tamaño, también puedes utilizar BINAT bidireccional. Esto puede ayudarte a simplificar la configuración. Sólo puedes utilizar NAT normal si tus redes no tienen el mismo tamaño.
Reflejo NAT: Cuando un usuario de la red interna intenta conectarse a un servidor local utilizando la dirección IP externa en lugar de la interna, NAT reflection puede reescribir la petición para utilizar la dirección IP interna, evitando un desvío y aplicando reglas diseñadas para el tráfico exterior real.
Opciones de pool: Cuando hay varias IP entre las que elegir, esta opción permite controlar qué IP se utiliza. La opción por defecto, Round Robin, simplemente envía paquetes a un servidor tras otro. Esta opción no tiene efecto si sólo tiene una dirección IP externa.

El cortafuegos OPNsense proporciona los siguientes tipos de configuraciones NAT:

NAT de reenvío de puertos (DNAT)
NAT uno a uno (NAT 1:1)
NAT de salida (SNAT)

Port Forwarding

El reenvío de puertos es un método que permite configurar determinados puertos de destino para que se dirijan siempre a nodos específicos. El reenvío de puertos permite el enmascaramiento completo de la IP, manteniendo la capacidad de los servicios para responder al tráfico entrante.

El reenvío de puertos también se conoce como «NAT de destino» o «DNAT». Cuando varios servidores de una LAN comparten la misma dirección IP externa, cualquier conexión que no sea iniciada por uno de los servidores fallará porque el cortafuegos no sabrá dónde enviar el tráfico. Esto puede remediarse estableciendo reglas de reenvío de puertos. Por ejemplo, para que el servidor web de su organización situado detrás del cortafuegos sea accesible desde Internet, debe redirigir los puertos HTTP(s) (80/443) al servidor.

Para configurar el reenvío de puertos en OPNsense puedes navegar a Firewall → NAT → Port Forward.

Descripción general de las interfaces de OPNsense

OPNsense dispone de los siguientes tipos de interfaz

Interfaces LAN
Interfaz WAN
Interfaz inalámbrica
Otros tipos
Interfaz puente
Interfaz GIF
Interfaz GRE
Interfaz LAGG
Interfaz Loopback
Interfaz VLAN
Interfaz VxLAN

Registros del sistema (System logs)

Una de las herramientas de monitorización más utilizadas son los registros del sistema. Los registros del sistema contienen información muy importante para la supervisión de la seguridad, como los intentos fallidos de inicio de sesión. Estos registros son muy valiosos para detectar anomalías en la red. Es importante supervisar los registros con regularidad para prevenir o detectar posibles intentos de infiltración y tomar las medidas oportunas.

Existen varios tipos diferentes de registros del sistema OPNsense, entre los que se incluyen:

Registro del sistema: Este registro contiene eventos generales del sistema, como mensajes de inicio y apagado, eventos de hardware y software y mensajes de error.
Backend / config daemon log: Este registro contiene registros del demonio de configuración de OPNsense, responsable de generar la configuración del cortafuegos y otros servicios.
Registro de GUI web: Este registro contiene los registros del servidor web Lighttpd, que se utiliza para servir la interfaz web de OPNsense.
Registro de firmware: Este registro contiene registros del sistema de paquetes de OPNsense, que se encarga de instalar y actualizar los paquetes.
Registro de puertas de enlace: Este registro contiene registros del demonio de seguimiento de puertas de enlace Dpinger, que se utiliza para realizar un seguimiento de la disponibilidad de las puertas de enlace predeterminadas.
Registro de enrutamiento: Este registro contiene registros del motor de enrutamiento de OPNsense.

Reducir el tiempo de arranque de OPNsense

En OPNsense, desactivar la consola VGA puede reducir el tiempo de arranque en unos 20-25 segundos. Esto proporciona una disponibilidad más rápida del cortafuegos después del reinicio, especialmente para las actualizaciones del firmware de OPNsense que requieren un reinicio

Configuración de la consola

En Sistema ‣ Configuración ‣ Administración los siguientes ajustes para la Consola Primaria están disponibles en la sección Consola:

Recomendación de salida de consola en tiempo de arranque

    Cortafuegos sin puerto serie
    unos 85 segundos
Serial Salida de consola en el puerto serie del cortafuegos

    Cortafuegos con puerto serie y tiempo de arranque corto deseado
aprox. 65 segundos
Consola EFI
Consola silenciada Consola deshabilitada

    Cortafuegos sin puerto serie que no arranca sin un monitor conectado[1]
    Recomendación limitada, ya que la consola no está disponible independientemente de la red
    unos 60 segundos
Recomendación al cambiar a consola serie

Antes de cambiar la Consola Principal de Consola VGA a Consola Serie, te recomendamos que primero configures la consola serie como Consola Secundaria. Esto permitirá activar ambas consolas en paralelo. Si todo funciona bien, puedes configurar finalmente la Consola Primaria como Consola Secundaria.

Plugins de monitorización de seguridad

OPNsense tiene una serie de plugins que se pueden utilizar para supervisar las características de seguridad, tales como:

Zenarmor:Zenarmor es un plugin de cortafuegos de nueva generación (NGFW) que proporciona diversas funciones de seguridad, como inspección profunda de paquetes (DPI), control de aplicaciones, filtrado web, detección y prevención de intrusiones (IDS/IPS) e inteligencia sobre amenazas.
Prometheus: Prometheus es un sistema de supervisión y alerta que se puede utilizar para recopilar y almacenar métricas de una variedad de fuentes, incluido OPNsense.
Grafana: Grafana es una herramienta de visualización de datos y cuadros de mando que se puede utilizar para mostrar datos de Prometheus en un formato fácil de leer.
Nagios y Zabbix: Nagios y Zabbix son herramientas de monitorización empresarial de código abierto que se pueden utilizar para monitorizar OPNsense y otros sistemas.
Clam AV: Clam AV es un escáner antivirus de código abierto que puede utilizarse para buscar virus y malware en OPNsense y otros sistemas.
Crowdsec: Crowdsec es un sistema de detección de intrusiones (IDS) de código abierto que se puede utilizar para detectar y bloquear el tráfico malicioso.
Suricata: Suricata es un sistema de monitorización de seguridad de red (NSM) y un sistema de detección de intrusiones (IDS) gratuitos y de código abierto.
Ntop: Ntop es un analizador de tráfico de red que se puede utilizar para supervisar el tráfico de red e identificar posibles amenazas a la seguridad.

Plugins para OPNsense

Plugin Category/ Plugin Name	Description
benchmarks/iperf	Connection speed tester
databases/redis	Redis DB
devel/debug	Debugging Tools
devel/grid_example	A sample framework application
devel/helloworld	A sample framework application
dns/bind	BIND domain name service
dns/dnscrypt-proxy	Flexible DNS proxy supporting DNSCrypt and DoH
dns/dyndns	Dynamic DNS Support
dns/rfc2136	RFC-2136 Support
emulators/qemu-guest-agent	QEMU Guest Agent for OPNsense
ftp/tftp	TFTP server
mail/postfix	SMTP mail relay
mail/rspamd	Protect your network from spam
misc/theme-cicada	The cicada theme - dark grey
misc/theme-rebellion	A suitably dark theme
misc/theme-tukan	The tukan theme - blue/white
misc/theme-vicuna	The vicuna theme - dark anthrazit
net/chrony	Chrony time synchronisation
net/firewall	Firewall API supplemental package
net/freeradius	RADIUS Authentication, Authorization and Accounting Server
net/frr	The FRRouting Protocol Suite
net/ftp-proxy	Control ftp-proxy processes
net/google-cloud-sdk	Google Cloud SDK
net/haproxy	Reliable, high performance TCP/HTTP load balancer
net/igmp-proxy	IGMP-Proxy Service
net/mdns-repeater	Proxy multicast DNS between networks
net/ntopng	Traffic Analysis and Flow Collection
net/radsecproxy	RADIUS proxy provides both RADIUS UDP and TCP/TLS (RadSec) transport
net/realtek-re	Realtek re(4) vendor driver
net/relayd	Relayd Load Balancer
net/shadowsocks	Secure socks5 proxy
net/siproxd	Siproxd is a proxy daemon for the SIP protocol
net/sslh	sslh configuration front-end
net/tayga	Tayga NAT64
net/udpbroadcastrelay	Control ubpbroadcastrelay processes
net/upnp	Universal Plug and Play Service
net/vnstat	vnStat is a console-based network traffic monitor
net/wol	Wake on LAN Service
net/zerotier	Virtual Networks That Just Work
net-mgmt/collectd	Collect system and application performance metrics periodically
net-mgmt/lldpd	LLDP allows you to know exactly on which port is a server
net-mgmt/net-snmp	Net-SNMP is a daemon for the SNMP protocol
net-mgmt/netdata	Real-time performance monitoring
net-mgmt/nrpe	Execute nagios plugins
net-mgmt/telegraf	Agent for collecting metrics and data
net-mgmt/zabbix-agent	Zabbix monitoring agent
net-mgmt/zabbix5-proxy	Zabbix monitoring proxy
net-mgmt/zabbix6-agent	Zabbix monitoring agent
net-mgmt/zabbix6-proxy	Zabbix monitoring proxy
net-mgmt/zabbix7-agent	Zabbix monitoring agent
net-mgmt/zabbix7-proxy	Zabbix monitoring proxy
net-mgmt/zabbix64-agent	Zabbix monitoring agent
net-mgmt/zabbix64-proxy	Zabbix monitoring proxy
security/acme-client	ACME Client
security/clamav	Antivirus engine for detecting malicious threats
security/etpro-telemetry	ET Pro Telemetry Edition
security/intrusion-detection-content-et-open	IDS Proofpoint ET open ruleset complementary subset for ET Pro Telemetry edition
security/intrusion-detection-content-et-pro	IDS Proofpoint ET Pro ruleset (needs a valid subscription)
security/intrusion-detection-content-pt-open	IDS PT Research ruleset (only for non-commercial use)
security/intrusion-detection-content-snort-vrt	IDS Snort VRT ruleset (needs registration or subscription)
security/maltrail	Malicious traffic detection system
security/openconnect	OpenConnect Client
security/softether	Cross-platform Multi-protocol VPN Program (development only)
security/stunnel	Stunnel TLS proxy
security/tinc	Tinc VPN
security/tor	The Onion Router
security/wazuh-agent	Agent for the open source security platform Wazuh
sysutils/apcupsd	APCUPSD - APC UPS daemon
sysutils/api-backup	Provide the functionality to download the config.xml
sysutils/apuled	PC Engine APU LED control (development only)
sysutils/dmidecode	Display hardware information on the dashboard
sysutils/git-backup	Track config changes using git
sysutils/hw-probe	Collect hardware diagnostics
sysutils/lcdproc-sdeclcd	LCDProc for SDEC LCD devices
sysutils/mail-backup	Send configuration file backup by e-mail
sysutils/munin-node	Munin monitoring agent
sysutils/nextcloud-backup	Track config changes using NextCloud
sysutils/node_exporter	Prometheus exporter for machine metrics
sysutils/nut	Network UPS Tools
sysutils/puppet-agent	Manage Puppet Agent
sysutils/smart	SMART tools
sysutils/virtualbox	VirtualBox guest additions
sysutils/vmware	VMware tools
sysutils/xen	Xen guest utilities
vendor/sunnyvalley	Vendor repository for Sensei (Next Generation Firewall Extensions)
www/c-icap	c-icap connects the web proxy with a virus scanner
www/cache	Webserver cache
www/nginx	Nginx HTTP server and reverse proxy
www/web-proxy-sso	Kerberos authentication module

Comparativa plugins entre OPNSense y PFSense

Comunes

acme
apcupsd
bind
freeradius
frr
ftp-proxy
haproxy
iperf
lcdproc
lldpd
ahavi/mdns-repeater
net-snmp
node_exporter
nrpe
ntopng
nut
siproxd
stunnel
telegraf
tftp
tinc
vmware
vnstat
wireguard
zabbix-agent
zabbix6-agent
zabbix62-agent
zabbix4-proxy
zabbix5-proxy
zabbix6-proxy
zabbix62-proxy

Plugins/Packages solo en pfSense

arping (but some ARP information is available on “Interfaces > Diagnostics > ARP Table” page in OPNsense)
arpwatch (but there is a possible alternative called OPNarp is available in the community repository)
Backup
bandwidthd
cellular
Cron (but functionality is built into OPNsense on the “System > Settings > Cron” page)
darkstat
Filer
haproxy-devel
LADVD
Lightsquid
mailreport
mtr-nox11
Netgate_Firmware_Upgrade (for Netgate specific hardware)
nmap
Notes
openvpn-client-export (but functionality is built into OPNsense on the “VPN > OpenVPN > Client Export” page)
pfBlockerNG (but much of the functionality can be implemented in other ways in OPNsense) (ZenArmor, por ejemplo)
pfBlockerNG-devel
pimd
RRD_Summary (OPNsense has several RRD reports built-in which may offer similar functionality)
Service_Watchdog
Shellcmd
snmptt
snort (but the Snort ruleset is available for Suricata in OPNsense)
softflowd
squid (but web caching can be done with other plugins in OPNsense)
squidGuard
sudo (but is enabled by default in OPNsense – settings located on the “System > Settings > Administration” page)
suricata (but functionality is built into OPNsense on the “Services > Intrusion Detection” pages)
syslog-ng (but functionality is built into OPNsense by default)
System_Patches (but custom system patches can be installed via command line)
Tailscale (but can be obtained via the OPNsense community repository)
zabbix-agent4 (OPNsense does not have this version of the Zabbix agent)
zabbix-agent5 (OPNsense does not have this version of the Zabbix agent)
zabbix-agent54 (OPNsense does not have this version of the Zabbix agent)
zabbix-proxy (OPNsense does not have this version of the Zabbix proxy)
zabbix-proxy54 (OPNsense does not have this version of the Zabbix proxy)
zeek (but can be obtained via the OPNsense community repository)

Plugins/Packages sólo en OPNsense

os-api-backup
os-c-icap (but may be a part of squid package in pfSense)
os-cache (but may be a part of squid package in pfSense)
os-chrony
os-clamav (but may be a part of squid package in pfSense)
os-collectd
os-crowdsec
os-ddclient (but dynamic DNS functionality is built into pfSense)
os-debug
os-dmidecode
os-dnscrypt-proxy
os-dyndns (but dynamic DNS functionality is built into pfSense)
os-etpro-telemetry (not sure if this telemetry ruleset is available in pfSense – let me know in the comments if it is or not)
os-firewall
os-git-backup
os-google-cloud-sdk
os-grid_example
os-helloworld
os-hw-probe
os-igmp-proxy (but functionality is built into pfSense)
os-intrusion-detection-content-et-open
os-intrusion-detection-content-et-pro
os-intrusion-detection-content-pt-open
os-intrusion-detection-content-snort-vrt
os-maltrail
os-munin-node
os-netdata
os-nextcloud-backup
os-nginx
os-openconnect
os-postfix
os-puppet-agent
os-qemu-guest-agent
os-radsecproxy
os-realtek-re
os-redis (ntopng in pfSense includes Redis so it is not available as a separate plugin in pfSense)
os-relayd
os-rfc2136 (but functionality is built into the “Services > Dynamic DNS” page in pfSense)
os-rspamd
os-sensei-agent
os-sunnyvalley (repository for Zenarmor – can be installed in pfSense manually)
os-shadowsocks
os-smart (but functionality is built into the “Diagnostics > S.M.A.R.T. Status” page)
os-sslh
os-tayga
os-theme-cicada (theme is OPNsense specific)
os-theme-rebellion (theme is OPNsense specific)
os-theme-tukan (theme is OPNsense specific)
os-theme-vicuna (theme is OPNsense specific)
os-tor
os-udpbroadcastrelay
os-upnp (but functionality is combined with NAT-PMP on the “Firewall > NAT” page in pfSense)
os-virtualbox
os-web-proxy-sso
os-wireguard-go (pfSense only has WireGuard-kmod and OPNsense has both WG-kmod and WG-go versions)
os-wol (but functionality is built into the “Services > Wake-on-LAN” page in pfSense)
os-xen
os-zerotier

Fuentes:

https://www.redeszone.net/2017/02/04/opnsense-conoce-este-completo-firewall-gratuito-instalar-red-domestica-empresa/

https://www.wilivm.com/es/blog/best-way-to-install-opnsense-firewall-on-linux/

https://forum.opnsense.org/index.php?topic=24409.msg116941#msg116941

https://www.allthingstech.ch/using-opnsense-and-ip-blocklists-to-block-malicious-traffic

Etiquetas: firewall , manual , opnsense , router , tutorial

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.

Tutoriales y Manuales

Entradas Mensuales

Síguenos en:

Blogroll

Etiquetas

Entradas populares