Корпоративный сетевой шлюз на FreeBSD/HardenedBSD — функции Cisco ASA и Fortinet за нулевую лицензию.
«pfSense и OPNsense превращают commodity-железо в корпоративный firewall с IDS, VPN и L7 инспекцией — без лицензионных платежей вендору.»
pfSense и OPNsense — это дистрибутивы для построения защищённых сетевых шлюзов, основанные соответственно на FreeBSD (pfSense Plus) и HardenedBSD (OPNsense). Оба продукта предоставляют полноценный web-интерфейс для управления PF firewall, VPN (WireGuard + IPsec + OpenVPN), маршрутизацией, DHCP/DNS, captive portal и балансировкой нагрузки. Целевая аудитория — от SMB до enterprise, от 1U appliance до виртуальной машины в облаке.
В стеке IgNix pfSense/OPNsense разворачиваются как периметровый шлюз: они принимают внешний трафик, выполняют stateful inspection через PF, пропускают трафик через встроенный Suricata 8.0.3 (IDS/IPS), и передают «чистый» трафик в DMZ. EIM-NAT (Extended Information Model NAT) в pfSense Plus 25.11.1 обеспечивает детальное логирование NAT-трансляций для forensics и compliance. VXLAN-поддержка позволяет строить overlay-сети между площадками.
OPNsense выбирается, когда важна полностью открытая кодовая база без проприетарных компонентов: весь код публичен, аудируем и не зависит от Netgate (производителя pfSense). Встроенный Suricata, WireGuard, 2FA (TOTP) из коробки и новый Tabulator UI делают OPNsense функционально равным pfSense Plus при полном open source. HardenedBSD-основа добавляет SafeStack и CFI — дополнительные уровни защиты ядра.
Килл-фичи:
PF + Suricata 8.0.3 в одном — stateful firewall и NGIPS в единой системе без внешних агентов
WireGuard встроенный — VPN без дополнительных пакетов, настройка через web-UI за минуты
EIM-NAT (pfSense) — детальный лог NAT-трансляций для forensics, compliance и расследования инцидентов
VXLAN (pfSense) — overlay-сети между площадками, L2 поверх L3 без дополнительного ПО
2FA из коробки (OPNsense) — TOTP для веб-интерфейса и VPN без интеграции внешнего IdP
HardenedBSD (OPNsense) — SafeStack + CFI на уровне ядра, дополнительный hardening поверх FreeBSD
HAProxy plugin — встроенный L7 балансировщик с TLS-терминацией прямо на шлюзе
Что заменяет: Cisco ASA, Fortinet FortiGate, Palo Alto Networks NGFW, Check Point, MikroTik (для enterprise)
Версия: pfSense Plus 25.11.1 / OPNsense 25.7.10
Роль в стеке: Слой 4 — Сетевая защита / Периметровый шлюз и NGFW