Документация
Документация pfSense - руководства по настройке и администрированию
Глоссарий терминов pfSense и сетевых технологий
Глоссарий pfSense - термины и определения

Глоссарий pfSense - термины и определения

Данный глоссарий содержит определения терминов, часто встречающихся при работе с pfSense и сетевыми технологиями. Термины расположены в алфавитном порядке. Для каждого термина указана расшифровка аббревиатуры (при наличии) и краткое определение в контексте pfSense. Дополнительные сведения по настройке отдельных функций доступны в соответствующих разделах документации: файрвол , NAT , VPN .

A

ACL

Access Control List - список правил, определяющих разрешения или запреты на доступ к сетевым ресурсам. В pfSense ACL реализованы через правила файрвола и настройки доступа отдельных сервисов (DNS Resolver, Captive Portal).

AES-NI

Advanced Encryption Standard - New Instructions - набор аппаратных инструкций процессора для ускорения операций шифрования AES. pfSense использует AES-NI для повышения производительности VPN-туннелей (IPsec, OpenVPN). Наличие AES-NI рекомендуется для систем с интенсивным VPN-трафиком.

ALTQ

Alternate Queuing - подсистема управления очередями трафика в ядре FreeBSD, используемая pfSense для реализации QoS. ALTQ поддерживает дисциплины PRIQ, HFSC и CBQ. Настраивается через Firewall > Traffic Shaper.

ARP

Address Resolution Protocol - протокол канального уровня для определения MAC-адреса по известному IP-адресу в локальной сети. Таблица ARP доступна в pfSense через Diagnostics > ARP Table.

B

BGP

Border Gateway Protocol - протокол динамической маршрутизации между автономными системами. pfSense не поддерживает BGP из коробки, но протокол доступен через пакет FRR (Free Range Routing).

BINAT

Bidirectional NAT - тип трансляции адресов, при котором внешний IP-адрес статически сопоставляется с внутренним в обоих направлениях. В pfSense настраивается как 1:1 NAT через Firewall > NAT > 1:1.

Bogon

Bogon-сети - диапазоны IP-адресов, которые не должны появляться в таблицах маршрутизации интернета: приватные диапазоны (RFC 1918), зарезервированные адреса и нераспределённые блоки. pfSense автоматически обновляет список bogon-сетей и может блокировать трафик с таких адресов на WAN-интерфейсе.

C

CARP

Common Address Redundancy Protocol - протокол обеспечения отказоустойчивости через виртуальные IP-адреса, разделяемые между несколькими узлами. В pfSense CARP используется для построения кластеров высокой доступности с автоматическим переключением на резервный узел.

CoDel

Controlled Delay - алгоритм активного управления очередями (AQM) для борьбы с буферизацией (bufferbloat). В pfSense CoDel используется в лимитерах (Limiters) через Firewall > Traffic Shaper > Limiters.

D

DHCP

Dynamic Host Configuration Protocol - протокол автоматического назначения IP-адресов и сетевых параметров клиентам. pfSense включает встроенный DHCP-сервер, настраиваемый через Services > DHCP Server для каждого интерфейса.

DMZ

Demilitarized Zone - изолированный сетевой сегмент для размещения публично доступных серверов. В pfSense DMZ реализуется как отдельный интерфейс (OPTn) с соответствующими правилами файрвола, ограничивающими доступ из DMZ в LAN.

DNAT

Destination NAT - трансляция адреса назначения входящего пакета. В pfSense DNAT реализован как Port Forward через Firewall > NAT > Port Forward, перенаправляющий входящие соединения на внутренние серверы.

DNS

Domain Name System - система преобразования доменных имён в IP-адреса. pfSense предоставляет DNS Resolver (Unbound) для рекурсивного разрешения и DNS Forwarder (dnsmasq) для проксирования DNS-запросов.

DNSSEC

DNS Security Extensions - набор расширений DNS для защиты от подмены ответов (DNS spoofing) путём криптографической подписи записей. Поддерживается встроенным DNS Resolver (Unbound) в pfSense.

DPD

Dead Peer Detection - механизм обнаружения недоступности удалённого узла в IPsec-туннеле. При обнаружении недоступности pfSense может автоматически перезапустить туннель или переключиться на резервный шлюз.

DSCP

Differentiated Services Code Point - 6-битное поле в заголовке IP-пакета для маркировки приоритета трафика. pfSense использует DSCP в правилах шейпера трафика для классификации и приоритизации пакетов.

E

ESP

Encapsulating Security Payload - протокол IPsec (IP Protocol 50), обеспечивающий шифрование и аутентификацию содержимого IP-пакетов. ESP используется во всех IPsec-туннелях pfSense для защиты передаваемых данных.

F

FIB

Forwarding Information Base - таблица маршрутизации, используемая ядром для принятия решений о пересылке пакетов. pfSense поддерживает несколько FIB для реализации policy-based routing. Таблица маршрутов доступна через Diagnostics > Routes.

G

GIF

Generic Tunnel Interface - тип туннельного интерфейса для инкапсуляции IPv6 в IPv4 (или наоборот). В pfSense GIF-туннели создаются через Interfaces > Assignments > GIFs и используются для подключения к брокерам IPv6-туннелей.

GRE

Generic Routing Encapsulation - протокол туннелирования для инкапсуляции произвольных сетевых протоколов внутри IP. В pfSense GRE-туннели создаются через Interfaces > Assignments > GREs и применяются для site-to-site соединений без шифрования.

H

HA

High Availability - высокая доступность, архитектура с резервированием для минимизации времени простоя. В pfSense HA реализуется через CARP, pfsync и XMLRPC-синхронизацию конфигурации между двумя узлами.

HFSC

Hierarchical Fair Service Curve - дисциплина управления очередями трафика с поддержкой иерархических классов и гарантий пропускной способности. В pfSense HFSC является наиболее гибкой дисциплиной шейпера трафика, настраиваемой через Firewall > Traffic Shaper.

I

ICMP

Internet Control Message Protocol - служебный протокол сетевого уровня для передачи диагностических сообщений (ping, traceroute, destination unreachable). Правила файрвола pfSense позволяют фильтровать ICMP по типам сообщений.

IDS/IPS

Intrusion Detection System / Intrusion Prevention System - система обнаружения и предотвращения вторжений. В pfSense IDS/IPS реализуется через пакеты Suricata или Snort, устанавливаемые через System > Package Manager.

IKE

Internet Key Exchange - протокол согласования параметров безопасности и обмена ключами для IPsec. pfSense поддерживает IKEv1 и IKEv2. Параметры IKE настраиваются в Phase 1 конфигурации IPsec.

IPsec

Internet Protocol Security - набор протоколов для обеспечения аутентификации и шифрования IP-трафика. pfSense поддерживает IPsec в режимах site-to-site и remote access. Настраивается через VPN > IPsec.

L

LAGG

Link Aggregation - объединение нескольких физических сетевых интерфейсов в один логический для увеличения пропускной способности или отказоустойчивости. pfSense поддерживает режимы LACP, failover, loadbalance и roundrobin через Interfaces > Assignments > LAGGs.

Limiter

Лимитер - механизм ограничения пропускной способности на основе dummynet в pfSense. В отличие от ALTQ, лимитеры позволяют задавать ограничения per-IP и применять алгоритмы AQM (CoDel, FQ-CoDel). Настраиваются через Firewall > Traffic Shaper > Limiters.

M

MSS

Maximum Segment Size - максимальный размер полезной нагрузки TCP-сегмента. pfSense может принудительно ограничивать MSS (MSS clamping) для предотвращения фрагментации пакетов в VPN-туннелях и PPPoE-соединениях. Настраивается на уровне интерфейса или в правилах файрвола.

MTU

Maximum Transmission Unit - максимальный размер пакета, который может быть передан через сетевой интерфейс без фрагментации. Стандартное значение для Ethernet - 1500 байт. При использовании VLAN, VPN или PPPoE MTU необходимо корректировать для учёта накладных расходов на инкапсуляцию.

N

NAT

Network Address Translation - трансляция сетевых адресов для преобразования IP-адресов при прохождении пакетов через маршрутизатор. pfSense поддерживает Port Forward, 1:1 NAT и Outbound NAT. Настраивается через Firewall > NAT .

NAT-T

NAT Traversal - механизм инкапсуляции пакетов ESP в UDP (порт 4500) для прохождения IPsec-трафика через устройства NAT. pfSense включает NAT-T автоматически при обнаружении NAT между узлами IPsec.

NDP

Neighbor Discovery Protocol - протокол обнаружения соседей в IPv6, выполняющий функции ARP для IPv6-сетей (определение MAC-адресов, обнаружение маршрутизаторов, автоконфигурация). Таблица NDP доступна через Diagnostics > NDP Table.

NPt

Network Prefix Translation - трансляция префиксов IPv6 без изменения идентификатора хоста. В pfSense NPt позволяет заменить один IPv6-префикс на другой при прохождении пакета через файрвол, сохраняя сквозную адресацию.

NTP

Network Time Protocol - протокол синхронизации времени. pfSense включает встроенный NTP-сервер для синхронизации времени на устройствах в локальной сети. Настраивается через Services > NTP.

O

OSPF

Open Shortest Path First - протокол динамической маршрутизации на основе состояния каналов (link-state). pfSense не поддерживает OSPF из коробки, но протокол доступен через пакет FRR (Free Range Routing).

P

PBR

Policy-Based Routing - маршрутизация на основе политик, позволяющая направлять трафик через различные шлюзы в зависимости от источника, назначения или типа трафика. В pfSense PBR реализуется через назначение шлюза в правилах файрвола.

pf

Packet Filter - пакетный фильтр из OpenBSD, используемый в pfSense в качестве основного механизма межсетевого экранирования. Все правила файрвола, NAT и шейпинг трафика в pfSense транслируются в правила pf.

pfctl

Утилита командной строки для управления пакетным фильтром pf. Позволяет просматривать состояния, правила, таблицы и статистику файрвола. В pfSense доступна через Diagnostics > Command Prompt или SSH.

pfsync

Протокол синхронизации таблицы состояний пакетного фильтра pf между узлами HA-кластера. pfsync обеспечивает сохранение активных соединений при переключении на резервный узел (stateful failover).

PFS

Perfect Forward Secrecy - свойство протокола обмена ключами, гарантирующее, что компрометация долгосрочного ключа не приводит к раскрытию ранее установленных сеансовых ключей. В pfSense PFS настраивается в Phase 2 конфигурации IPsec.

PPPoE

Point-to-Point Protocol over Ethernet - протокол установления точка-точка соединений поверх Ethernet, широко используемый провайдерами для DSL и FTTB подключений. pfSense поддерживает PPPoE как тип WAN-подключения и может выступать PPPoE-сервером.

PRIQ

Priority Queuing - простейшая дисциплина управления очередями в ALTQ с фиксированными приоритетами. Пакеты из очереди с более высоким приоритетом всегда обрабатываются первыми. Настраивается через Firewall > Traffic Shaper.

Q

QoS

Quality of Service - набор механизмов для управления приоритетами и полосой пропускания сетевого трафика. В pfSense QoS реализуется через шейпер трафика (ALTQ) и лимитеры (dummynet).

R

RADIUS

Remote Authentication Dial-In User Service - протокол централизованной аутентификации, авторизации и учёта (AAA). pfSense поддерживает RADIUS как источник аутентификации для VPN, Captive Portal и административного доступа.

RRD

Round-Robin Database - формат хранения временных рядов с фиксированным размером файла. pfSense использует RRD для хранения исторических данных мониторинга (графики трафика, качества каналов, загрузки системы) в Status > Monitoring.

S

SA

Security Association - набор согласованных параметров безопасности (алгоритмы, ключи, время жизни) для IPsec-соединения. Каждый IPsec-туннель устанавливает пару SA - одну для каждого направления трафика.

SLAAC

Stateless Address Autoconfiguration - механизм автоматического назначения IPv6-адресов на основе Router Advertisement без использования DHCPv6. Устройство генерирует адрес из сетевого префикса и собственного идентификатора интерфейса.

SNAT

Source NAT - трансляция адреса источника исходящего пакета. В pfSense SNAT реализован через Outbound NAT (Firewall > NAT > Outbound), который по умолчанию подменяет адрес источника на адрес WAN-интерфейса.

STP

Spanning Tree Protocol - протокол предотвращения петель в сетях с избыточными соединениями на канальном уровне. pfSense поддерживает STP на мостовых (bridge) интерфейсах для предотвращения широковещательных штормов.

Suricata

Многопоточная система обнаружения и предотвращения вторжений (IDS/IPS), доступная в pfSense как дополнительный пакет. Suricata анализирует сетевой трафик в реальном времени на соответствие сигнатурам угроз и может блокировать вредоносные соединения.

V

VHID

Virtual Host ID - идентификатор виртуального хоста CARP (1-255). Каждый виртуальный IP-адрес CARP должен иметь уникальный VHID в пределах широковещательного домена. VHID должен совпадать на всех узлах HA-кластера для одного виртуального IP.

VLAN

Virtual Local Area Network - технология логического разделения физической сети на изолированные сегменты на канальном уровне (стандарт IEEE 802.1Q). pfSense поддерживает создание VLAN-интерфейсов через Interfaces > Assignments > VLANs.

VPN

Virtual Private Network - виртуальная частная сеть, обеспечивающая защищённое соединение через публичную сеть. pfSense поддерживает IPsec, OpenVPN, WireGuard и L2TP.

VTI

Virtual Tunnel Interface - виртуальный туннельный интерфейс для маршрутизируемых IPsec-туннелей. VTI позволяет применять правила файрвола и маршрутизацию непосредственно к IPsec-трафику, упрощая конфигурацию по сравнению с политиками Phase 2.

X

XMLRPC

Extensible Markup Language Remote Procedure Call - протокол удалённого вызова процедур на основе XML через HTTP. pfSense использует XMLRPC для синхронизации конфигурации между узлами HA-кластера (правила файрвола, NAT, алиасы, DHCP и другие настройки).

Last updated on