L'équipe de développement de pfSense vient de publier une liste impressionnante des nouvelles fonctionnalités de pfSense dans sa version 2.0 - ce firewall qui offrait déjà des fonctionnalités très intéressantes devient LA plate-forme OpenSource de référence pour la gestion de la sécurité et des réseaux.

Nous savions déjà que les fonctionnalités allaient être étendues, mais la liste est si grande… L'attente a été longue, mais la récompense risque d'être à la hauteur de nos espérances. 

 

Interfaces

• tunnels GRE
• tunnels gif
• Support de la 3G (différents modems supportés via PPP) 
• modem distant
• Interfaces LAGG
• Gestion de groupe d'Interfaces
• Alias d'IP / IP virtuels
• VLANs de type QinQ 
• Amélioration de la fonction Gateway pour le multi-WAN
• Possibilité d'utiliser Block Private Networks / Block Bogon Networks sur n'importe quelle interface
• Toutes les interfaces sont optionnelles sauf le WAN (ça cela va simplifier pas mal de choses)… 
• Toutes les interfaces peuvent être renommées, même LAN / WAN
• Amélioration du mode passerelle - possibilité de contrôler toutes les options de if_bridge, et assigner des interfaces de type bridge
 
 

Interface utilisateur

• HTTPS par défaut avec une redirection systématique de HTTP sur HTTPS
• Ajout de Dashboard et de widgets
• L'écran System > Advanced a été divisé en multiple sous-sections (tab) avec de nombreuses options disponibles. 
• Alertes de type SMTP et growl. 
• Nouveau thème par défaut : pfsense_ng
• Nouveaux thèmes produits par la communauté
• Aide contextuelle disponible sur chaque page depuis l'interface web. 
 

Les Alias

• Les alias peuvent être encapsulés (des alias dans des alias. 
• L'auto complétion des alias n'est plus sensible à la casse. 
• Possibilité de fixer des plage d'IP dans les alias. 
• Plus d'entrées au niveau des alias. 
• Import d'Alias en bloc.
• Alias d'URL.
• Table d'alias d'URL - utilise une table de type pf persist pour les très grande listes (+ de 40,000).
 

Firewall

• Fonction de Traffic shaping ré-écrite - supporte maintenant n'importe quelle combinaison d'interfaces multi-WAN et multi-LAN. Ajout d'un nouveau Wizard.
• Filtrage de protocole de niveau 7. 
• Fonctionnalité EasyRule - qui permets d'ajouter des règles depuis l'écran de log et depuis la console (super !!). 
• Règle flottante qui permet d'ajouter des règles indépendamment des interfaces. 
• Tables d'état qui se re-dimensionnent suivant la RAM disponible dans le système (pas mal du tout !). 
• Plus de règles avancés de firewalling disponibles. 
• Mode FTP helper maintenant au niveau du noyau.
• Proxy TFTP. 
• Les règles de temporisation (Scheduled) sont maintenant effectuées au niveau de pf, les sessions existantes peuvent donc être déconnectées. 
• Vue résumée de l'état, le rapport montre les états groupés par IP d'origine, IP de destination, … 
 
 

IPsec

• Possibilité de multiple sous-réseaux via IPsec (Multiple IPsec p2's per p1)
• Support d'IPsec xauth
• Ajout d'un mode transport pour IPsec
• Fonction IPsec NAT-T
• ipsec-tools passe en version 0.8
 

Gestion des utilisateurs

• Nouveau gestionnaire d'utilisateurs qui centralise les différents écrans précédemment disponibles. 
• Gestion des droits d'accès des utilisateurs par page pour les utilisateurs administrateurs. 
• Trois types d'authentification possibles : utilisateurs locaux, LDAP et RADIUS.
• Page de diagnostique des authentifications.
 

Gestion de Certificats

• Ajout d'une fonctionnalité de gestion de certificats pour gérer IPsec, l'interface web, les utilisateurs, et les certificats OpenVPN (trsè cool !). 
 

OpenVPN

• Fonctionnalité de filtrage OpenVPN - un onglet avec les règles OpenVPN est disponible, donc l'interface OpenVPN n'a pas besoin d'être assignée pour permettre le filtrage (merci !). 
• Possibilité d'export des configurations OpenVPN sous forme de package - fourni un installer prêt à l'emploi pour intégré les certificats dans Windows, export type Viscosity, et export sous forme de fichier au format ZIP avec tous les certificats utilisateur et les fichiers de configuration (top !). 
• Page d'état pour OpenVPN avec la liste des clients connectés -- et la possibilité de "tuer" les connexions actives. 
• Authentification des utilisateurs et gestion des certificats. 
• Support de l'authentification RADIUS et LDAP. 
 

Portail captif 

• Ajout des supports de type Voucher.
• Capacité Multi-interface. 
• Restrictions au niveau de la bande passante au niveau MAC
• Restriction de bande passante sur les IP autorisées
• Règle Pass-through de niveau MAC auto ajouté -- après une authentification réussie, une règle pass-through niveau MAC peut-être automatiquement ajoutée. 
 

Sans-fils (Wi-Fi)

• Support des AP virtuels (VAP). 
• Plus de cartes WLAN supprotés suivant la version FreeBSD RELENG_8 (8.1). 
 

Load balancing niveau serveur

• Fonction relayd et ses fonctionnalités avancées remplacées par slbd.
 

Autres

• Possibilité de faire du VPN avec L2TP
• Page de recherche DNS ajoutée
• PFTop et Top intégrés dans l'interface utilisateur - mise à jour temps réel.
• La fonctionnalité d'historique de config incorpore maintenant une fonction diff.
• La fonctionnalité d'historique de config a une fonction téléchargement pour les versions précédentes.
• La fonctionnalité d'historique de config à une fonctionnalité de survol de zone (mouseover) pour les descriptions. 
• Fonctionalité de parse de log (/usr/local/bin/filterparser)
• Passage à PHP 5
• Ajout d'un proxy IGMP
• Support de Multiple comptes Dynamic DNS, y compris un support complet pour le multi-WAN et multi-comptes sur chaque interface. 
 

Bravo Chris et la DevTeam - fantastique travail !