Axplock av möjliga tillägg
Pfsense har en mängd tillägg, de flesta kan enkelt installeras direkt från webbgränssnittet. Detta återfinns under meny System och sedan alternativet Package Manager.
På detta system är iftop, iperf samt snort installerat
Deep Packet Inspection
Brandväggsregler tittar egentligen bara på meta-information som TCP-/UDP-port, IP-address och liknande. Det i sig säger egentligen väldigt lite om vilken information som faktiskt flödar genom brandväggen.
Vill man utföra lite mer ingående analys av trafiken kan verktyg som Snort används.
Mängden CPU-cykler som spenderas per paket ökar rätt dramatiskt, självklart beroende på hur avancerad sökning och hur många olika mönster/signaturer som finns i Snort-databasen. Användning av Snort kommer resultera i att varje paket måste ta sig från OS-kärnan till Snort-processen, bara den processen kräver en hel del.
"Deep Packet Inspection" är ett fint exempel på något där en relativt kraftig Pfsense-brandvägg kan ge ett mervärde över hemmarouters. Exempel på fall som kan utföras med denna teknik är att detektera port-scanning, identifiering av vilket operativsystem som noder på Internet kör, trafik som försöker trigga kända buffer-overflow-buggar i någon programvara, etc.
Pfsense har ett par olika färdiga databas-paket för Snort. Efter installation av Snort-paketet hittar man konfigurationen under meny Services och sedan alternativet Snort.
Minst en databas måste aktiveras. Detta utförs under Services / Snort / Updates. Den databas jag testat med är "Snort GPLv2 Community Rules". Andra databaser kan kosta pengar medan andra är gratis men kanske kräver registrering av något slag.
Det går självklart att skapa egna regler. Det kräver självklart att man sätter sig in i dokumentationen för Snort, något som skulle kräva sin egen guide.
Lastbalansering
Detta kanske inte är jättevanligt för hemmanätverket, men det finns flera paket för att lastbalansera HTTP/HTTPS-anrop över flera LAN-servers.
LED
År 2018 finns det självklart ett paket för att kunna blinka LED:s i takt med IP-paketen som susar genom din fina brandvägg.
Wifi-access
Jag har inte kunnat hitta ett standardpaket för att utöka Pfsense med stöd för Wifi-accesspunkt, men finns beskrivningar ute på nätet hur man går tillväga. Ipfire och ClearOS har däremot standardtillägg för detta. Hittas här för ClearOS och beskrivs här för IPFire.
