- Многое ниже на основе интервью Tom Lawrence из Lawrence Systems
- PERFORMANCE LIMITATIONS (IMIX): routing 10G (ideal 20G), firewall 5G (ideal 20G), ipsec 1G (ideal 3G)
- Pfsense основан на bsd (like juniper)
- В pfsense есть возможность подключать сторонние плагины (типо keenetic). pfsense/opensense с плагинами крут, »проверено на опытных эксплуатациях»
- TNSR Tensor основан на vector packet processing (VPP) и был придуман для задач, где pfsense уже не справлялся с обработкой
- Pf в pfsense – это pf filter bsd, был создан примерно одновременно с iptables (2001 год PF, 1998 iptables)
-
Используется очень часто в небольших банках и других небольших компаниях, но не только небольших:
-
используют в carprice
- есть и крупные инсталляции по практике Lawrence System – напр.
- устанавливали в мед. организации с 7к сотрудников пару NETGATE 7100 на базе x86 с 10G сетевыми интерфейсами Intel в режиме High Availability (HA)
-
настраивали pfsense + suricata в прозрачном режиме для industrial клиента с большим количеством SCADA систем, которым требуется availability 24/7
- в куче home lab и лабораториях, например при преподавании (LPIC-2)
-
- Поддерживаемый функционал – все без ограничений по лицензиям, ограничения в первую очередь по железу
-
BGP в виде FRR
-
wireguard, openvpn, ipsec (стандартный с поддержкой site to site напр. с Cisco)
-
High Availability (HA)
-
Интеграция с AD/LDAP/RADIUS
-
Поддерживает snort и suricata (даже в режиме transparent, кейс ниже), обновления сигнатур платные
-
Можно запускать в виртуализации – VMware, Proxmox
-
-
Успех pfsense не только в том, что он бесплатный; но и в том, что он имеет от Netgate
-
платную поддержку в том числе с SLA
- поддержку в том числе на уровне разработки (they have a team of developers on stuff)
- pfsense+ основан на pfsense, но код в виде проприетарных аддонов не открыт (напр. vpn import/export, aws wizard)
-
продажу под ключ (turnkey) девайсов (хотя и можно поставить почти на любую ОС) – в том числе на базе ARM (внутренняя компиляция под arm недоступная в opensource :D) напр. NETGATE SG-1100; причем компиляция под ARM крайне уникальна в зависимости от конкретных устройств и не открыта Netgate, поэтому (из-за специфики компиляции) не поддерживается RPi
-