У меня FreeBSD 10.2:
поддержка основного и резервного интернет канала
поддержка usb модемов
Почти реализовано, руки не дошли еще в выходные ночью поработать блин. А так модем МТС подхватился, соединение устанавливается. Просто резервный канал мне ручками врубать надо и некоторые конфиги (в локальном dns unbound, в частности) править при переходе на модем.
работа в виртуальной машине
У меня вообще нет графической оболочки, все через командную строку.. не знаю как виртуальную тачку поднять....
веб интерфейс
Для прокси sqstat и еще какой-то "а-ля стата для сквида" - для них поднимал апач, мускуль, стату смотрел из локальной сети по веб-интерфейсу.
прозрачный прокси включая https
Судя по статьям, катит прежде всего squid 3.5.8 - прозрачное https проксирование без подмены сертификатов, могу сказать, что я перепробовал кучу последних версих, именно 3.5.8 не пробовал... Работать - работает, но когда в сеть выходят 5+ юзеров - https кладет сквид, https начинает сильно тормозить... По статьям Нагибатора, катит только 3.5.8 - его статьи на Хабре для debian:
https://habrahabr.ru/post/267851/
https://habrahabr.ru/post/272733/проверка на вирусы на лету
Хз.. если проверять вирусню для всего входящего исходящего трафика, причем на вирусню для Windows.. хз.. dr.web бывает для Фряхи (платный). А на саму Фряху - какие вирусы... Фаер и т. п. решают.
авторизация пользователей из AD
Хз, у меня нет домена
бесплатный
+
поддержка openvpn
Не знаю, но уверен, для Фряхи это не проблема.
можно прикрутить к нему существующие сертификаты
Ну в Сквиде что-то есть такое, создание сертов... не знаю...
создание пользовательских правил фаервола через вебинтерфейс
В PfSense по-любому так и делается. Я ручками пишу конфиг ipfw.
подсчёт трафика по пользователям
Так и не реализовал. Хотя пока работал Сквид, именно SqStat и собирал на веб-морду - кто скоко и откуда выкачал.
обнаружение вторжений
Обычный лог-журнал. По ключевым словам настраиваешь поиск и оповещения. Скажем так, неудачные попытки входа на шлюз я не мониторю, так как их дофига (роботы регулярно стандартные логины-пассы пробуют), а вот accepted - стоит отдельная оповещалка.
онлайн мониторинг трафика по клиентам (нужно определять кто грузит канал в данный момент)
iftop справляется отлично, маленький конфиг под него 5-7 строк-параметров, и все мониторит онлайн, регулярно юзаю, чтобы резать "нехороших". При этом очень гибкие онлайн в процессе мониторинга настройки и фильтры.
Так же одна из этих сквид-стат справляется, через веб-интерфейс, но сквид я пока отрубил, поэтому в ифтопе гляжу. Да и к тому же - если какой то траффик мимо прокси идет - то не будет видно в этом sqstat или как там его...
фильтрация контента включая https по пользователям
В Squid вышеупомянутое полностью работает, но в случае с https не получится настроить страницу для пользователя... будет просто сообщение браузера "Не удалось загрузить страницу". А так в Сквиде все гибко - и по контенту и по сайтам (не по их ip или dns - а именно по доменным именам) и для групп и для отдельных юзеров. "Можно все кроме" или "Запрещено все кроме"... как угодно.
По фряхе куча статей и форум: lissyara.su
Сложный
