Основне оновлення IPFire 2.29 199 Він прибуває сповнений глибоких змін Ці оновлення стосуються практично кожного рівня системи: від підтримки бездротового зв'язку наступного покоління до посиленої безпеки ядра, включаючи покращення VPN, проксі-сервера, веб-інтерфейсу та безліч оновлених пакетів. Ця версія, спочатку випущена як тестова збірка, безпосередньо орієнтована на вимогливі середовища, як для підприємств, так і для досвідчених домашніх користувачів.
У цьому посібнику ми розглянемо всі технічні та функціональні інновації Це оновлення включає: підтримку WiFi 7 та WiFi 6, вбудовану інтеграцію LLDP/CDP, нове ядро, зміни в системі запобігання вторгненням, покращення OpenVPN, удосконалення проксі-сервера, незначні налаштування інтерфейсу, оновлені доповнення та значні зусилля розробників, що стоять за цим оновленням. Якщо ви використовуєте IPFire у виробничому середовищі, вам слід зрозуміти, що змінилося та як це може бути вам корисним.
Оновлення IPFire 2.29 Core Update 199 робить крок вперед у сфері бездротових мереж: підтримка WiFi 7 та WiFi 6.
Одна з головних зірок цієї версії – Пряма сумісність IPFire з точками доступу WiFi 7 та WiFi 6Досі деяке обладнання вже працювало, але розширені можливості цих стандартів використовувалися не повністю. З оновленням Core Update 199 система тепер може повною мірою скористатися цими розширеними функціями, щоб забезпечити більшу швидкість і меншу затримку.
Тепер можна просто вказати бажаний режим WiFi з інтерфейсуі дозвольте IPFire обробити решту конфігурації. До існуючого 802.11ac/agn додано 802.11be (WiFi 7) та 802.11ax (WiFi 6), а також підтримується ширина каналу до 320 МГц. Це призводить до справді вражаючих показників пропускної здатності: понад 5,7 Гбіт/с з двома просторовими потоками або близько 11,5 Гбіт/с з чотирма потоками по всьому ефіру.
Ще одна важлива зміна - це IPFire автоматично визначає можливості обладнання WiFi та активує підтримувані функції без необхідності возитися з загадковими налаштуваннями. Раніше налаштування "HT Capabilities" та "VHT Capabilities" виконувалося вручну, що призводило до ризику помилок та втрати часу. Тепер система піклується про безпечне ввімкнення всього, що підтримує бездротова карта, що призводить до стабільніших та швидших мереж.
Щодо безпеки бездротового зв'язку, введено опцію посилення мереж, які досі використовують WPA2 або WPA1Коли є клієнти, які не можуть використовувати WPA3, IPFire дозволить використовувати SHA256 під час автентифікації, посилюючи рукостискання, не змушуючи відмовитися від цих старих протоколів, що досі необхідно в багатьох змішаних парках пристроїв.
Це оновлення входить до стандартної комплектації. Увімкнення захисту SSID через МФУ (Захист кадрів керування, 802.11w), де це можливо. У цих випадках система автоматично вмикає захист маяків та перевірку операційного каналу, запобігаючи атакам на основі підроблених кадрів керування та підвищуючи стійкість мережі до зловмисного втручання.
Для оптимізації використання спектру IPFire включає механізм, який перетворює багатоадресний трафік на одноадресний за замовчуванням. Це особливо корисно, коли більшість клієнтів є сучасними та швидкими. Це звільняє ефірний час та зменшує колізії, що особливо корисно в густонаселених мережах, які споживають багато аудіовізуальних послуг або трафіку мовлення.
Якщо обладнання дозволяє, то це зроблено фонове виявлення радараЦе важливо для належної роботи з каналами DFS та дотримання правил щодо смуг частот, що використовуються спільно з радіолокаційними службами. Все це бездоганно інтегровано в інтерфейс, який залишається практично незмінним, оскільки реальна робота відбувається «під капотом».
Продукти Lightning Wire Labs, розроблені спеціально для IPFire, Ці розширені можливості Wi-Fi будуть активовані автоматично.Це означає, що користувачі цих приладів отримають максимальну віддачу від нового бездротового акумулятора з самого першого моменту.
Виявлення мережі за допомогою LLDP та протоколу Cisco Discovery Protocol
У складних умовах, точно знаючи До чого підключається кожен інтерфейс брандмауера? Це ключовий фактор для діагностики та документування. З оновленням Core Update 199 IPFire включає вбудовану підтримку LLDP (протокол виявлення каналу) та CDPv2 (протокол виявлення Cisco) – двох протоколів, що широко використовуються в керованих комутаторах та професійному мережевому обладнанні.
Завдяки цій інтеграції, брандмауер може автоматично ідентифікувати пристрої, підключені до кожного фізичного порту і визначати, до якого порту комутатора підключається кожен інтерфейс. Це значно спрощує роботу зі стійками, заповненими обладнанням, VLAN, транками та агрегаціями, а також бездоганно інтегрується з інструментами моніторингу та картографування, такими як Observium.
Функціональність зручно керується з веб-інтерфейсу, в меню. Послуги → LLDPде його можна активувати, деактивувати або налаштувати параметри відповідно до потреб середовища. Таким чином, IPFire стає більш помітним та повністю інтегрованим гравцем у мережеву топологію.
Оновлені покращення ядра та продуктивності в IPFire 2.29 Core Update 199
Ще одним ключовим компонентом цього основного оновлення є Оновлення ядра IPFire до гілки Linux 6.12.58Це оновлення версії містить численні виправлення безпеки та стабільності, а також покращення продуктивності, які особливо помітні на сучасному обладнанні та ресурсомістких робочих навантаженнях.
Деякі речі були переглянуті параметри конфігурації, пов'язані з плануванням налагодження та паралельністю (випереджувальне налагодження). Вимкнення або точне налаштування певних параметрів налагодження, які не потрібні у виробництві, призводить до помітного підвищення продуктивності багатьох систем, зменшення затримки та покращення часу відгуку брандмауера під навантаженням.
Посилення системи запобігання вторгненням (IPS)
Серце IPS від IPFire, Suricata оновлено до версії 8.0.2Ця зміна не лише приносить внутрішні покращення механізму аналізу трафіку, але й відкриває двері для нових правил та можливостей виявлення, що забезпечує актуальність системи для боротьби з поточними загрозами.
Функція звітності IPS також отримала Значне коригування через проблеми з базою даних SQLite використовується внутрішньо. Коли ця система була зайнята, деякі сповіщення могли бути пропущені. Цю проблему було вирішено у версії 0.5 пакета suricata-reporter, який гарантує надійну реєстрацію та звітування про сповіщення.
Крім того, звіти IPS тепер матимуть фіксований графік доставки о 1:00 ночіЦя невелика зміна відповідає на прохання кількох адміністраторів, яким потрібно було мати звіти готовими зранку, що полегшує щоденний огляд стану безпеки перед початком робочого дня.
Покращення OpenVPN для роумінгових клієнтів в IPFire 2.29 Core Update 199
Модуль OpenVPN Roadwarrior також отримує пакет невеликих, але значні оптимізації для середовищ віддаленого доступуПо-перше, якщо сервер все ще використовує шифри, які вважаються застарілими, інтерфейс виділятиме їх, щоб привернути увагу адміністратора та заохотити його спланувати перехід на більш надійні алгоритми.
Можливість надсилання кількох DNS- та WINS-серверів клієнтамЦе дуже корисно в корпоративних мережах з кількома доменами, внутрішніми резолверами або змішаними середовищами. Це значно спрощує налаштування без необхідності хаків або додаткових скриптів на стороні клієнта.
Сервер OpenVPN тепер працює. завжди в режимі кількох будинківЦе краще відповідає реальності IPFire, який зазвичай розгортається з кількома мережевими інтерфейсами. За такого налаштування сервер послідовно відповідає, використовуючи ту саму IP-адресу, до якої підключається клієнт, незалежно від того, чи походить з’єднання з внутрішньої чи зовнішньої мережі, запобігаючи неочікуваній поведінці в сценаріях з кількома маршрутами.
Також було виправлено помилку, яка завадило правильному надсиланню першого користувацького маршруту Ця вразливість може призвести до недоступності певних мереж через тунель, навіть якщо решта конфігурації була визначена правильно. Завдяки виправленню, користувацькі маршрути тепер розподіляються належним чином.
Щодо автентифікації, компонент, відповідальний за перевірку користувачів Він краще обробляє потоки одноразових паролів.Коли клієнт «заплутається» під час двоетапної автентифікації, сервер докладе додаткових зусиль, щоб допомогти йому та правильно завершити вхід, зменшуючи кількість інцидентів, спричинених непорозуміннями кінцевих користувачів.
Зрештою, його видаляють з файл конфігурації клієнта, директива auth-nocacheоскільки він був неефективним у цьому контексті. Його видалення спрощує файл, не впливаючи негативно на фактичну безпеку розгортання.
Проксі: IPFire 2.29 Core Update 199 Засоби безпеки та стабільності
Проксі-сервер IPFire також отримав вигоду від змін, розроблених для зменшити ризики безпеки та вдосконалити гоночну ситуаціюСпочатку до вразливості, ідентифікованої як CVE-2025-62168, застосовується спеціальний засіб пом'якшення, який посилює конфігурацію для запобігання можливим експлойтам.
З іншого боку, це вирішено умова змагання, яка може призвести до примусового завершення процесу фільтра URL-адрес під час компіляції своїх баз даних. За певних обставин це призводило до випадкових збоїв або втрати фільтрації, доки служба не була перезапущена. Завдяки вбудованому виправленню компіляція списку має тривати без перерв.
Невеликі, але суттєві покращення веб-інтерфейсу
Веб-інтерфейс адміністрування отримав кілька покращень, які, хоча й не є вражаючими, Вони явно покращують зручність щоденного використанняМодуль брандмауера виправляє помилку, яка перешкоджала створенню нових груп локацій, що є дуже корисною функцією для керування правилами на основі країн або регіонів.
У розділі, присвяченому вразливостям апаратного забезпечення, Тепер відображається чіткіше повідомлення, коли система не підтримує SMT. (Одночасна багатопотоковість). Замість заплутаних повідомлень, адміністратор краще розуміє стан процесора та те, як він впливає на певні заходи захисту.
Поштовий модуль налаштовує обробку облікових даних, які вони містять делікатні спеціальні символиЦе запобігає їх пошкодженню або «спотворенню» під час збереження. Це зменшує проблеми під час налаштування сповіщень та інших служб, які залежать від SMTP-автентифікації.
Загальні зміни та пакет оновлень системи
Окрім специфічних функцій, це оновлення включає фундаментальні модифікації системи та велика партія оновлених пакетівПо-перше, демон D-Bus тепер налаштовано на роботу за замовчуванням в IPFire, що відкриває шлях для майбутніх функцій, які будуть спиратися на цю внутрішню інфраструктуру обміну повідомленнями.
Система побудови initramfs також розвивається: dracut замінено на dracut-ngОскільки Red Hat відмовився від оригінального проєкту, ця зміна забезпечує активне обслуговування та міцнішу основу для процесів запуску та відновлення.
Серед нових корисних функцій, додавання dma, інструмент, призначений для створення локальних поштових скриньок та керувати електронною поштою у спрощений спосіб, особливо корисно в системах, які не потребують потужного MTA, але потребують певної внутрішньої функції доставки.
Стек шифрування також налаштовано відповідно до поточних рекомендацій IPFire: Набір шифрів SSH синхронізується з висхідним потоком і надає пріоритет AES-GCM над AES-CTR, за замовчуванням надаючи перевагу більш надійним режимам автентифікації.
Це також виправляється умова змагання під час застосування правил брандмауераУ попередній системі набір правил, що вже існував, міг зникнути, якщо одночасно було введено інше правило. У цій новій системі правила залишаються незмінними навіть за частих змін політики.
Інші зміни
Щодо каталогу основних пакетів, оновлення Core Update 199 оновлює довгий список фундаментальних компонентів. До них належать, серед багатьох інших, coreutils 9.8, c-ares 1.34.5 (виправлено проти CVE-2025-31498), cURL 8.17.0 та BIND 9.20.16, основні принципи системних утиліт та розв'язання імен.
Також оновлюються ключові бібліотеки та інструменти, такі як boost 1.89.0, btrfs-progs 6.17.1, elfutils 0.194, expat 2.7.3 (з виправленнями для CVE-2025-59375 та CVE-2024-8176), fmt 12.1.0, FUSE 3.17.4 та glib 2.86.0, посилюючи сумісність та безпеку.
Оновлення включено harfbuzz 12.1.0, hwdata 0.400, iana-etc 20251030, iproute2 6.17.0, kbd 2.9.0, less 685, libarchive 3.8.2, libcap 2.77, libgpg-error 1.56, libxml2 2.15.1 та LVM2 2.03.36всі вони є критично важливими компонентами для управління системою, консолі, зберігання та аналізу даних.
Набір інструментів для створення та розробки також оновлюється. nasm 3.00, ninja 1.13.1, protobuf 33.0 та Rust 1.85.0Тим часом, вбудована база даних та різні мережеві сервіси покращені завдяки SQLite 3.51.0, Suricata 8.0.2, suricata-reporter 0.5, strongSwan 6.0.3, unbound 1.24.1 та іншим.
Пакет оновлень доповнюється різними системними та адміністративними утилітами, такими як sysvinit 3.14, udev 258, util-linux 2.41.2, vim 9.1.1854, whois 5.6.5, usbutils 019 та xfsprogs 6.17.0На додаток до кількох «очищень коду», розподілених по всьому коду, що покращує зручність обслуговування та зменшує технічний борг.
Доповнення: Нові функції та оновлені версії
Екосистема плагінів IPFire також оновлюється, включаючи Виправлення та нові функції в кількох доповненняхОдним із інструментів, що привертає увагу, є arpwatch, який призначений для моніторингу змін MAC-адрес у мережі.
Помилка, яка заважала arpwatch Надсилати правильне ім'я відправника в електронних листах зі сповіщеннямиЧерез це деякі сервери відхилили ці повідомлення. Крім того, MAC-адреси тепер завжди відображаються з нульовим доповненням, що полегшує їх читання та запобігає плутанині.
Доповнення ffmpeg оновлено до версії Версія 8.0 включає нове посилання на OpenSSL та бібліотеку lame.Завдяки цьому IPFire знову може без проблем обробляти потоки із зовнішніх джерел через HTTPS та кодування mp3, відновлюючи можливості потокової передачі, які деякі адміністратори пропустили.
Поряд із цими змінами оновлюються численні додаткові пакети в рамках доповнень, такі як ClamAV 1.5.1, dnsdist 2.0.1, fetchmail 6.5.7, hostapd f747ae0, libmpdclient 2.23, mpd 0.24.5 та mympd 22.1.1, покращення антивірусних функцій, розширений DNS, електронна пошта, мультимедійні послуги та керування точками доступу.
Масштаб цієї версії чітко показує, що IPFire продовжує робити ставку на розширювати мережеві можливості, посилювати безпеку та постійно вдосконалювати процес управлінняВід Wi-Fi нового покоління та покращеної видимості з LLDP/CDP до модернізованого ядра, надійнішої IPS, покращень OpenVPN, посиленого проксі-сервера, невеликих виправлень інтерфейсу, оновленої бібліотеки пакетів та розширених доповнень – все це об’єднується, щоб запропонувати швидшу та безпечнішу систему, готову до складних сценаріїв, яку завжди підтримує спільнота та команда, яким потрібна підтримка, щоб не відставати від цих темпів еволюції.