Прибуття de IPFire 2.29 – Основне оновлення 200 Це знаменує собою поворотний момент в еволюції цього дистрибутиву брандмауера та маршрутизатора з відкритим кодом. Це важливе оновлення, яке представляє сучасне ядро, посилює безпеку, покращує продуктивність мережі та оновлює велику кількість пакетів і плагінів. Крім того, воно додає передові технології, такі як WiFi 7 та розширену підтримку виявлення мережі.
Це основне оновлення не обмежується «незначними виправленнями»; це версія зі структурними змінамиНова система блокування доменів (IPFire DBL), значні покращення Suricata та системи звітності IPS, основні зміни в OpenVPN, надійніший проксі-сервер для захисту від нещодавніх вразливостей, вбудована підтримка LLDP/CDP та довгий список оновлених бібліотек та інструментів. І все це при збереженні зосередженості IPFire на стабільності, безпеці та простоті адміністрування через веб-інтерфейс.
Оновлення IPFire 2.29 Core 200: Нові зміни ядра та платформи IPFire
Одним із наріжних каменів цього випуску є оновлення ядра IPFire. Основна системна гілка була наздогнаний Linux 6.18.x LTSЦе призводить до хвилі покращень безпеки, продуктивності та сумісності обладнання. Лінійка 6.18 LTS включає накопичені виправлення стабільності, поточні патчі безпеки та оптимізації, які зменшують затримку та покращують продуктивність фільтрації пакетів, що особливо актуально в сценаріях з високим трафіком або з багатьма правилами брандмауера та NAT.
Нове ядро приносить загальні покращення продуктивності мережіВін пропонує вищу пропускну здатність, меншу затримку та розширені можливості фільтрації пакетів. Він також інтегрує найновіші засоби захисту від нещодавніх апаратних вразливостей, посилюючи захист від атак, що використовують недоліки сучасних процесорів. Це надзвичайно важливо в середовищах, де IPFire використовується як периметральний брандмауер або в критичній інфраструктурі з високими вимогами до безпеки.
У рамках цього переходу також є важливе рішення: воно має Підтримку файлової системи ReiserFS було видалено.Саме ядро Linux позначило цю технологію як застарілу, і проект IPFire наслідував цей приклад. Якщо ваша поточна інсталяція IPFire використовує ReiserFS, ви не зможете безпосередньо застосувати Core Update 200. Натомість вам доведеться виконати чисту перевстановлення, використовуючи підтримувану файлову систему (наприклад, ext4, XFS або інші, що підтримуються останніми образами IPFire). Веб-інтерфейс вже деякий час попереджає користувачів про це, тому це обмеження не є зовсім несподіваним.
IPFire DBL: Новий список блокування доменів в IPFire 2.29 Core Update 200
Оскільки відомий список Shalla став недоступним, веб-проксі IPFire залишився без стабільне джерело доменів для фільтрації шкідливий контент, соціальні мережі або веб-сайти для дорослих. З огляду на відсутність справді комплексних та підтримуваних альтернатив, команда IPFire вирішила створити та підтримувати власний список блокування доменів: Двомісний IPFire.
IPFire DBL розташований у рання бета-фазаОднак, його вже можна функціонально використовувати у двох ключових моментах системи:
- Фільтр URL-адрес проксі-сервераАдміністратор може вибрати IPFire DBL як джерело доменів для блокування. Таким чином, будь-який доступ, що проходить через проксі-сервер HTTP/HTTPS, буде перевірятися за списком, запобігаючи доступу до категорій потенційно небезпечних або небажаних сайтів.
- Інтеграція з Suricata (IPS)З появою IPFire DBL, проєкт також стає постачальником правил для Suricata. Поєднуючи базу даних доменів з глибокою перевіркою пакетів (DNS, TLS, HTTP, QUIC), IPS може ретельніше блокувати з’єднання із забороненими доменами, навіть якщо вони обходять традиційний проксі-сервер.
Хоча база даних все ще зростає, метою є запропонувати користувачам IPFire надійний, актуальний та спеціально розроблений список блоків інтегруватися з екосистемою брандмауера. Команда закликає спільноту тестувати його, повідомляти про проблеми та надавати пропозиції щодо його вдосконалення в майбутніх версіях, де очікуються значні покращення та нові можливості.
Оновлення IPFire 2.29 Core Update 200 вносить покращення в систему запобігання вторгненням (IPS).
Система IPS на базі Suricata отримує низку суттєвих змін, спрямованих на покращення продуктивності, надійності та корисності її звітів. Попереднє оновлення запровадило можливість… зберігати попередньо скомпільовані сигнатури в кеші щоб пришвидшити завантаження Suricata. Однак цей кеш може неконтрольовано зростати та займати забагато місця на диску.
Щоб виправити цю поведінку, оновлення Core Update 200 містить Патч, який дозволяє Suricata автоматично видаляти невикористані підписиЦе зберігає перевагу швидкого завантаження без шкоди для довготривалого сховища, що є критично важливим для пристроїв з невеликими дисками або спеціалізованих пристроїв.
Компонент звітності (suricata-reporter) також було розширено: тепер для сповіщень, пов’язаних із DNS, HTTP, TLS або QUICДодано додаткову інформацію, таку як ім’я хоста та інші відповідні деталі. Ця інформація відображається як у сповіщеннях електронною поштою, так і у звітах у форматі PDF, допомагаючи адміністраторам точніше розслідувати потенційні інциденти безпеки або порушення корпоративної політики.
Окрім цих змін, нещодавнє оновлення, близьке до основного оновлення 200, представило Покращення в управлінні IPS у разі збоївУ системах з обмеженою пам'яттю було помічено, що якщо Suricata виходила з ладу або система завершувала роботу для звільнення оперативної пам'яті, брандмауер міг залишатися більш відкритим, ніж було бажано, що викривало внутрішні служби. Хоча жодних реальних атак, що використовували б таку поведінку, не спостерігалося, це вважалося значним ризиком для безпеки.
Щоб пом'якшити це, зараз існує пильний процес, який контролює IPS і перезапускає його, якщо виявляє неочікуване падіння. Трафік, позначений як «в білому списку», більше не надсилається до IPS для виключення: він пропускається безпосередньо в ланцюжку iptables, що оптимізує продуктивність і зменшує складність. Також додано можливість фільтрації IPsec-трафіку; раніше цей трафік виключався з аналізу IPS, за винятком кількох конкретних випадків, і тепер його можна перевіряти щоразу, коли він проходить через налаштовані інтерфейси.
У веб-інтерфейс IPS було включено нову функцію. нова діаграма продуктивності Це показує оброблений трафік, поділений на три категорії: сканований трафік (вхідний та вихідний), трафік із білого списку та трафік обходу. Це забезпечує чітке уявлення про фактичне використання IPS та дозволяє більш обґрунтовано коригувати правила та політики.
OpenVPN: Зміни в конфігурації та автентифікації
Модуль OpenVPN в IPFire отримав значний набір налаштувань, щоб зробити конфігурацію клієнта та сервера більш гнучкою та узгодженою з сучасними передовими практиками. Починаючи з цієї версії, Файли конфігурації клієнта більше не містять фіксованого значення MTU.Натомість сервер «надсилатиме» відповідне значення MTU кожному клієнту, дозволяючи адміністратору змінювати це значення без необхідності повторного створення всіх конфігурацій користувача. Варто зазначити, що деякі дуже старі клієнти можуть не повністю розуміти таку поведінку.
Якщо використовується двофакторна автентифікація з OTP, Одноразовий токен зараз надсилається із сервера. коли у клієнта ввімкнено OTP. Це централізує логіку на стороні сервера, уникаючи невідповідностей та спрощуючи керування тимчасовими обліковими даними.
Крім того, профілі клієнтів більше не містять Центр сертифікації (CA), вбудований за межі контейнера PKCS#12Раніше це могло спричиняти проблеми під час імпорту з’єднань за допомогою таких інструментів, як NetworkManager, з командного рядка через дублікати сертифікатів. Оскільки ЦС тепер включено до файлу PKCS#12, цю надмірність було усунено для спрощення процесу та запобігання помилкам.
До конфігурації сервера "roadwarrior" додано більше налаштувань. Коли сервер OpenVPN продовжує використовувати шифри, що вважаються застарілимиIPFire тепер підкреслює це, щоб попередити адміністратора про доцільність переходу на сучасніші пакети. Це також дозволяє розміщувати кілька DNS-серверів та WINS на клієнтах, що дуже корисно в складних мережах, де співіснують кілька внутрішніх доменів або певних серверів імен.
Сервер OpenVPN тепер працює завжди в режимі кількох будинківЦе має сенс у брандмауері з кількома інтерфейсами. Це гарантує, що сервер відповідає клієнтам, використовуючи ту саму IP-адресу, до якої вони спочатку підключилися, навіть якщо машина має кілька вихідних шляхів до Інтернету або внутрішніх мереж. Також виправлено помилку, яка перешкоджала правильному надсиланню першого власного маршруту, визначеного для клієнтів, а процес автентифікації за одноразовим паролем (OTP) покращено, щоб клієнт міг пройти другий фактор, якщо він зависне.
Нарешті, політику було видалено з конфігурацій клієнта. auth-nocache, оскільки його Фактичний ефект був практично нульовим На практиці це створило хибне відчуття безпеки. Завдяки цим змінам OpenVPN в IPFire тепер більше відповідає сучасним передовим практикам і спрощує життя адміністраторам.
WiFi 7 та WiFi 6: стрибок покоління в бездротових мережах
Одним із найвражаючих аспектів цього оновлення є те, що IPFire нарешті повною мірою скористатися можливостями WiFi 7 (802.11be) та WiFi 6 (802.11ax) за його роль як точки бездротового доступу. Хоча апаратне забезпечення могло функціонувати раніше, нові функції цих стандартів тепер доступні та належним чином керуються.
У налаштуваннях бездротового зв'язку можна вибрати Бажаний режим Wi-Fi і дозвольте IPFire подбати про решту. Система додає повну підтримку 802.11be та 802.11ax, а також вже підтримуваних режимів 802.11ac/agn. Це включає використання каналів до 320 МГц, що забезпечує пропускну здатність понад 5,7 Гбіт/с з двома просторовими потоками або приблизно до 11,5 Гбіт/с з чотирма потоками, все бездротовим способом. Ці показники, очевидно, залежать від апаратного та радіосередовища, але підтримка є та готова повною мірою скористатися перевагами обладнання останнього покоління.
IPFire тепер автоматично виявляє розширені можливості апаратного забезпечення Wi-FiТе, що раніше налаштовувалось вручну як «HT Capabilities» та «VHT Capabilities» — виснажливий та схильний до помилок процес — тепер керується внутрішньо. Система автоматично вмикає всі функції, що підтримуються пристроєм (MU-MIMO, широкі канали тощо), що призводить до стабільніших, швидших та простіших в управлінні бездротових мереж.
У середовищах, де все ще використовується WPA2 або навіть WPA1, IPFire тепер дозволяє використовувати SHA256 у процесі автентифікації Для посилення зв'язку для клієнтів, які не можуть працювати з WPA3. Крім того, захист SSID увімкнено за замовчуванням: якщо використовуються захищені кадри керування (802.11w), система автоматично вмикає захист маяків та перевірку робочого каналу, запобігаючи певним атакам, які маніпулюють мережевою сигналізацією.
Щоб покращити ефективність повітряного потоку, багатоадресні пакети перетворюються на одноадресні Це налаштування за замовчуванням, коли мережа складається переважно із сучасних високошвидкісних клієнтів. Цей метод зменшує втрати ефірного часу на традиційний багатоадресний трафік і покращує загальний досвід, особливо в щільних мережах. Якщо дозволяє обладнання, виявлення радара (необхідне для DFS у певних діапазонах) виконується у фоновому режимі, запобігаючи будь-яким помітним перебоям у роботі Wi-Fi.
Хоча форма веб-інтерфейсу не зазнала радикальних змін, більша частина магії відбувається за лаштунками, оптимізуючи параметри та максимізуючи продуктивність обладнання. Пристрої Lightning Wire Labs, що інтегрують IPFire Ці можливості активуються автоматично.тож користувачі цих пристроїв побачать покращення, не торкаючись налаштувань.
Підтримка LLDP та протоколу Cisco Discovery
Базове оновлення 200 вбудовано підтримує Протокол виявлення каналу (LLDP) та протокол виявлення Cisco версії 2 (CDPv2)Ці протоколи дозволяють IPFire «рекламувати» та виявляти пристрої на рівні 2-го рівня на безпосередньо підключених сегментах, що дуже корисно в складних мережевих інфраструктурах.
Завдяки LLDP/CDP, брандмауер може ідентифікувати до яких портів комутатора він підключенийІ навпаки, комутатори та засоби моніторингу можуть чітко бачити розташування IPFire на карті мережі. Це бездоганно інтегрується з такими платформами, як Observium та іншими системами картографування та моніторингу мережі, спрощуючи керування великими середовищами з численними VLAN, транковими каналами та розподіленим обладнанням.
Функціональність активується та налаштовується з веб-інтерфейс, у розділі Мережа → LLDPде ви можете вирішити, на яких інтерфейсах увімкнено протокол, яка інформація рекламується та як дані інтегруються з рештою конфігурації мережі.
DNS, PPP та інші основні служби в IPFire 2.29 Core Update 200
Безмежний DNS-проксі IPFire також отримав значне оновлення. Замість роботи в однопотоковому режимі, Unbound тепер запускає один потік на кожне ядро процесораЦе дозволяє скористатися перевагами багатоядерних процесорів, таких поширених у наш час, та зменшити час відгуку DNS під навантаженням, що помітно в середовищах з багатьма клієнтами або багатьма одночасними запитами.
У з’єднаннях PPP-доступу (таких як деякі лінії DSL, 4G або 5G), IPFire налаштовує надсилання пакетів LCP keep-alive для Видавайте їх лише тоді, коли на лінії немає реального трафікуЦя невелика зміна дещо зменшує навантаження на з'єднання, що особливо цінується на мобільних каналах з обмеженими ресурсами або суворими обмеженнями даних.
В інтерфейсі адміністрування виправлено візуальну деталь: На сторінці DNS тепер послідовно відображається така легенда: представлених елементів, уникаючи плутанини під час інтерпретації стану серверів, роздільних здатностей або налаштованих режимів роботи.
Веб-проксі та останні оновлення безпеки
Компонент проксі-сервера HTTP/HTTPS зазнав змін, спрямованих на безпеку. A специфічні засоби пом'якшення вразливості CVE-2025-62168 у конфігурації проксі-сервера, посилюючи захист від шаблонів атак, пов’язаних із цим CVE. Таким чином, користувачі прозорого або автентифікованого проксі-сервера IPFire отримують додаткові засоби без необхідності вручну змінювати файли конфігурації.
А умова змагання в процесі фільтрації URL-адресЗа певних обставин, під час компіляції баз даних фільтрації, процес може бути раптово перерваний, що призводить до тимчасових збоїв або невідповідностей. Завдяки виправленню, включеному до основного оновлення 200, компіляція списків виконується надійніше, що мінімізує ризик непрацездатності процесу фільтрації під час оновлень.
Досвід адміністрування та веб-інтерфейсу
Веб-інтерфейс IPFire зазнав кількох покращень зручності використання та виправлень помилок. Проблему в розділі [відсутня назва розділу] було вирішено. брандмауер, який запобігав створенню нових груп локацій, дуже корисна функція для групування країн або регіонів та застосування правил на основі геолокації.
У розділі вразливостей обладнання повідомлення, яке відображається, коли система не підтримує SMT (одночасну багатопотоковість)пояснення для адміністратора, чому певні заходи безпеки або стани безпеки відображаються тим чи іншим чином. Крім того, виправлено помилку в модулі електронної пошти, через яку облікові дані з певними спеціальними символами Вони можуть бути «пошкоджені» під час зберігання, що спричиняє помилки автентифікації на зовнішніх поштових серверах.
Оновлення безпеки: OpenSSL, glibc та інші
Що стосується критично важливих бібліотек, OpenSSL оновлено до Версія 3.6.1 і виправлено кілька вразливостей, включаючи CVE-2025-11187, CVE-2025-15467, CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795 та CVE-2026-22796. Цей каскад CVE дає уявлення про навантаження криптографічного захисту який включено до цієї версії.
Стандартну бібліотеку glibc також виправили для усунення кількох відповідних вразливостей: CVE-2026-0861, CVE-2026-0915 та CVE-2025-15281Оскільки це центральний компонент усієї системи, його оновлення та виправлення є важливими для зменшення площі атаки та забезпечення того, щоб програми користувалися останніми виправленнями.
Велике оновлення основних пакетів та компонентів
Оновлення Core Update 200 містить безліч оновлених пакетів. Серед найпомітніших: Apache 2.4.66, bash 5.3p9, BIND 9.20.18, coreutils 9.9, cURL 8.18.0, dhcpcd 10.3.0, elinks 0.19.0, glib 2.87.0, GnuPG 2.4.9, GnuTLS 3.8.11 та багато інших графічних та системних бібліотек, таких як harfbuzz 12.3.0, hwdata 0.403, iana-etc 20251215, intel-microcode 20251111 або libarchive 3.8.5.
Вони також оновлюються libcap-ng 0.9, libgpg-error 1.58, libidn2 2.3.8, libjpeg 3.1.3, libpcap 1.10.6, libplist 2.7.0, libpng 1.6.53, libtasn1 4.21.0, liburcu 0.15.5, libxcrypt 4.5.1а також інструменти керування томами та RAID, такі як LVM2 2.03.38 та mdadm 4.5. Включено нові версії memtest (8.00), meson (1.10.1), newt (0.52.25), ninja (1.13.2), oath-toolkit (2.6.13), OpenVPN (2.6.17), OpenSSL (3.6.1 у базовому стеку), SQLite (3.51.100), tzdata (2025c), readline (8.3p3), strongSwan (6.0.4), suricata (8.0.3), suricata-reporter (0.6), Rust (1.92.0), Unbound (1.24.2), wireless-regdb (2025.10.07), vim (9.1.2098) та xz (5.8.2).
Що стосується доповнень, то вони були оновлені alsa 1.2.15.3, ClamAV 1.5.1, dnsdist 2.0.2, fetchmail 6.6.0, gdb 17.1, Git 2.52.0, fort-validator 1.6.7, freeradius 3.2.8, libtpms 0.10.2, opus 1.6.1, postfix 3.10.6, samba 4.23.4, strace 6.18, tmux 3.6a, Tor 0.4.8.21 та tshark 4.6.3Разом цей пакет оновлень забезпечує покращення безпеки, підтримку нових протоколів, сумісність із сучасним обладнанням та виправлення помилок, розподілених по всьому стеку.
Рекомендовані доповнення: arpwatch, ffmpeg та інші
Серед додаткових функцій, що входять до складу IPFire, виділяються наступні: arpwatch як нове доповненняЦей інструмент відстежує MAC-адреси в мережі та може попереджати вас про підозрілі зміни (наприклад, коли IP-адреса пов’язана з іншою MAC-адресою). Включена версія виправляє проблему з конвертом відправника в електронних листах, через яку деякі поштові сервери відхиляли повідомлення. Тепер надсилається правильна адреса відправника, а MAC-адреси завжди відображаються з нульовим доповненням, що покращує читабельність звітів.
El paquete ffmpeg оновлено до версії 8.0 у наборі плагінів. Його було перекомпільовано та перелінковано до OpenSSL та бібліотеки LAME, що дозволяє відновити функціональність потокової передачі із зовнішніх джерел за допомогою HTTPS та кодування MP3. Це полегшує використання IPFire як точки інтеграції для мультимедійних рішень, яким потрібно відтворювати або пересилати захищений контент.
Серед інших аксесуарів, що оновлюються, є dnsdist 2.0.1, fetchmail 6.5.7, hostapd з останніми версіями (f747ae0), libmpdclient 2.23, mpd 0.24.5, mympd 22.1.1, nano 8.7, openvmtools 13.0.5, Samba 4.23.2, shairport-sync 4.3.7, Tor 0.4.8.19, tshark 4.6.1 та zabbix_agentd 7.0.21 LTSЦі версії виправляють помилки, додають підтримку нових функцій та налаштовують сумісність із сучасними версіями базових бібліотек.
З усіма цими змінами, IPFire 2.29 Core Update 200 об'єднаний як зріла, безпечна платформа брандмауера, готова до обладнання та стандартів наступного поколінняВід WiFi 7 до найновіших версій ядра та криптографічних компонентів, IPFire сумісний з широким спектром технологій. Ті, хто вже покладається на IPFire для захисту домашніх або бізнес-мереж, знайдуть у цій версії значний стрибок у продуктивності, видимості мережі та можливостях фільтрації, що підтримується активною спільнотою та циклом розробки, який продовжує включати постійні вдосконалення безпеки та підтримки.
