Основна актуализация на IPFire 2.29 199 Пристига натоварено с дълбоки промени Тези актуализации засягат почти всеки слой на системата: от безжична поддръжка от следващо поколение до засилена основна сигурност, включително подобрения в VPN, прокси, уеб интерфейс и множество актуализирани пакети. Тази версия, първоначално издадена като тестова компилация, е насочена директно към взискателни среди, както за корпоративни, така и за напреднали домашни потребители.
В това ръководство ще разгледаме подробно всички технически и функционални иновации Тази актуализация включва: поддръжка за WiFi 7 и WiFi 6, вградена LLDP/CDP интеграция, ново ядро, промени в системата за предотвратяване на прониквания, подобрения в OpenVPN, подобрения в прокси сървъра, малки промени в интерфейса, актуализирани добавки и значителните усилия за разработка, които стоят зад нея. Ако използвате IPFire в производствена среда, ще искате да разберете какво се е променило и как това може да ви е от полза.
IPFire 2.29 Core Update 199 прави крачка напред в безжичните мрежи: поддръжка за WiFi 7 и WiFi 6
Една от големите звезди на тази версия е Директна съвместимост на IPFire с точки за достъп WiFi 7 и WiFi 6Досега част от хардуера вече работеше, но разширените възможности на тези стандарти не бяха използвани напълно. С Core Update 199 системата вече може да се възползва максимално от тези разширени функции, за да осигури по-голяма скорост и по-ниска латентност.
Сега е възможно просто да се посочи предпочитан WiFi режим от интерфейсаи оставете IPFire да се справи с останалата част от конфигурацията. 802.11be (WiFi 7) и 802.11ax (WiFi 6) са добавени към съществуващия 802.11ac/agn и се поддържа ширина на канала до 320 MHz. Това се превръща в наистина впечатляващи цифри за честотна лента: над 5,7 Gbps с два пространствени потока или около 11,5 Gbps с четири потока, навсякъде по ефир.
Друга важна промяна е това IPFire автоматично разпознава възможностите на WiFi хардуера и активира поддържаните функции, без да е необходимо да се занимавате с криптирани настройки. Преди това конфигурирането на „HT възможности“ и „VHT възможности“ се извършваше ръчно, с последващия риск от грешки и загуба на време. Сега системата се грижи за сигурното активиране на всичко, което безжичната карта поддържа, което води до по-стабилни и по-бързи мрежи.
Що се отнася до безжичната сигурност, е въведена опцията укрепване на мрежи, които все още използват WPA2 или WPA1Когато има клиенти, които не могат да използват WPA3, IPFire ще позволи използването на SHA256 по време на удостоверяване, засилвайки ръкостискането, без да налага изоставянето на тези по-стари протоколи, нещо, което все още е необходимо в много паркове със смесени устройства.
Тази актуализация е стандартна. Активиране на SSID защита чрез MFP (Защита на управляваните рамки, 802.11w), където е налична. В тези случаи системата автоматично активира защитата Beacon и валидирането на оперативния канал, като по този начин предотвратява атаки, базирани на фалшиви управлявани рамки, и подобрява устойчивостта на мрежата срещу злонамерена намеса.
За да оптимизира използването на спектъра, IPFire включва механизъм, който преобразува мултикаст трафика в уникаст по подразбиране. Това е особено полезно, когато повечето клиенти са модерни и бързи. Освобождава ефирно време и намалява колизиите, което е особено полезно в гъсто населени мрежи, които консумират много аудиовизуални услуги или излъчван трафик.
Ако хардуерът го позволява, е направено фоново радарно откриванеТова е от съществено значение за правилната работа с DFS каналите и спазването на разпоредбите за честотните ленти, споделени с радарните служби. Всичко това е интегрирано безпроблемно в интерфейса, който остава до голяма степен непроменен, тъй като истинската работа се извършва „под капака“.
Продуктите на Lightning Wire Labs, проектирани специално за IPFire, Тези разширени WiFi възможности ще се активират автоматично.Това означава, че потребителите на тези уреди ще извлекат максимума от новата безжична батерия още от първия момент.
Откриване на мрежа с LLDP и Cisco Discovery Protocol
В сложни среди, знаейки точно Към какво се свързва всеки интерфейс на защитната стена? Това е ключово за диагностиката и документирането. С Core Update 199, IPFire включва вградена поддръжка за LLDP (Link Layer Discovery Protocol) и CDPv2 (Cisco Discovery Protocol), два протокола, широко използвани в управляеми комутатори и професионално мрежово оборудване.
Благодарение на тази интеграция, защитната стена може автоматично идентифицира устройствата, свързани към всеки физически порт и да определят към кой порт на комутатора се свързва всеки интерфейс. Това значително опростява работата със стелажи, пълни с оборудване, VLAN, транкове и агрегации, и се интегрира безпроблемно с инструменти за мониторинг и картографиране като Observium.
Функционалността се управлява удобно от уеб интерфейса, в менюто. Услуги → LLDPкъдето може да се активира, деактивира или параметрите му да се коригират според нуждите на средата. По този начин IPFire става по-видим и напълно интегриран играч в мрежовата топология.
Актуализирани подобрения в ядрото и производителността в IPFire 2.29 Core Update 199
Друг ключов компонент на тази основна актуализация е Актуализация на ядрото на IPFire до Linux клон 6.12.58Тази актуализация на версията носи множество корекции на сигурността и стабилността, както и подобрения в производителността, които са особено забележими при съвременен хардуер и взискателни натоварвания.
Някои неща бяха прегледани настройки за конфигурация, свързани с планиране на грешки и паралелизъм (превантивно отстраняване на грешки). Деактивирането или фината настройка на определени параметри за отстраняване на грешки, които не са необходими в производствения процес, води до забележимо увеличение на производителността на много системи, намалявайки латентността и подобрявайки времето за реакция на защитната стена при натоварване.
Укрепване на системата за предотвратяване на прониквания (IPS)
Сърцето на IPS на IPFire, Suricata е актуализирана до версия 8.0.2Тази промяна не само води до вътрешни подобрения в механизма за анализ на трафика, но и отваря вратата към нови правила и възможности за откриване, поддържайки системата актуална срещу текущите заплахи.
Функционалността за отчитане на IPS също получи Значителна корекция поради проблеми с базата данни SQLite използва се вътрешно. Когато тази система беше заета, някои предупреждения можеха да бъдат пропуснати. Този проблем е решен с версия 0.5 на пакета suricata-reporter, който гарантира, че предупрежденията се регистрират и докладват надеждно.
Освен това, докладите на IPS вече ще имат фиксиран график за доставка в 1:00 ч.Тази малка промяна е в отговор на искането на няколко администратори, които трябваше да имат готови отчетите още сутринта, като по този начин улесниха ежедневния преглед на състоянието на сигурността преди началото на работния ден.
Подобрения в OpenVPN за роуминг клиенти в IPFire 2.29 Core Update 199
Модулът OpenVPN Roadwarrior също получава пакет от малки, но значителни оптимизации за среди за отдалечен достъпПърво, ако сървърът все още използва шифри, считани за остарели, интерфейсът ще ги маркира, за да привлече вниманието на администратора и да го насърчи да планира миграция към по-надеждни алгоритми.
Възможността за изпращане на множество DNS и WINS сървъри към клиентиТова е много полезно в корпоративни мрежи с множество домейни, вътрешни резолвери или смесени среди. Значително опростява конфигурацията, без да изисква хакове или допълнителни скриптове от страна на клиента.
OpenVPN сървърът вече работи. винаги в режим на многодомностТова по-добре съответства на реалността на IPFire, който обикновено се използва с множество мрежови интерфейси. С тази настройка сървърът отговаря постоянно, използвайки един и същ IP адрес, към който се свързва клиентът, независимо дали връзката произхожда от вътрешна или външна мрежа, предотвратявайки неочаквано поведение в сценарии с множество маршрути.
Поправен е и бъг, който предотврати правилното изпращане на първия персонализиран маршрут Тази уязвимост може да доведе до недостъпност на определени мрежи през тунела, дори ако останалата част от конфигурацията е била правилно дефинирана. С корекцията персонализираните маршрути вече се разпределят според очакванията.
Що се отнася до удостоверяването, компонентът, отговорен за валидирането на потребителите По-добре се справя с потоците от еднократни пароли.Когато клиентът се „обърка“ по време на процеса на двуетапно удостоверяване, сървърът ще положи допълнителни усилия, за да го насочи и да завърши правилно влизането, намалявайки инцидентите, дължащи се на недоразумения от страна на крайния потребител.
Накрая се премахва от конфигурационен файл на клиента, директивата auth-nocacheтъй като беше неефективен в този контекст. Премахването му опростява файла, без да оказва негативно влияние върху действителната сигурност на внедряването.
Прокси: IPFire 2.29 Core Update 199 Защита и стабилност Ограничения
Прокси сървърът на IPFire също се възползва от промени, предназначени да намаляване на рисковете за безопасността и подобряване на състезателните ситуацииПърво, срещу уязвимостта, идентифицирана като CVE-2025-62168, се прилага специфична мярка за смекчаване, като се подсилва конфигурацията, за да се предотвратят евентуални експлоатационни атаки.
От друга страна, това е решено условие за състезание, което може да доведе до принудително прекратяване на процеса на URL филтър по време на компилирането на техните бази данни. При определени обстоятелства това водеше до случайни сривове или загуба на филтриране, докато услугата не бъде рестартирана. С вградената корекция компилирането на списъци би трябвало да продължи без прекъсване.
Малки, но значителни подобрения в уеб интерфейса
Уеб интерфейсът за администриране получава няколко подобрения, които, макар и да не са впечатляващи, Те очевидно подобряват ежедневната използваемост.Модулът на защитната стена коригира грешка, която предотвратяваше създаването на нови групи местоположения, много полезна функция за управление на правила, базирани на държави или региони.
В раздела, посветен на хардуерните уязвимости, Вече се показва по-ясно съобщение, когато системата не поддържа SMT. (Едновременно многонишково изпълнение). Вместо объркващи съобщения, администраторът разбира по-добре състоянието на процесора и как то влияе върху определени мерки за смекчаване на риска.
Пощенският модул настройва обработката на идентификационните данни, които те съдържат. деликатни специални символиТова предотвратява повредата или „обезобразяването“ им по време на запазване. Това намалява проблемите при конфигуриране на известия и други услуги, които разчитат на SMTP удостоверяване.
Общи промени и пакет за системни актуализации
Освен специфичните функции, тази актуализация включва фундаментални системни модификации и голяма партида актуализирани пакетиПърво, демонът D-Bus вече е настроен да работи по подразбиране в IPFire, което проправя пътя за бъдещи функции, които ще разчитат на тази вътрешна инфраструктура за съобщения.
Системата за изграждане на initramfs също еволюира: dracut се заменя с dracut-ngТъй като оригиналният проект е изоставен от Red Hat, тази промяна осигурява активна поддръжка и по-солидна основа за процесите на стартиране и възстановяване.
Сред новите полезни функции, добавянето на dma, инструмент, предназначен за генериране на локални пощенски кутии и да управляват имейлите по олекотен начин, особено полезно в системи, които не изискват тежък MTA, но изискват известна вътрешна функционалност за доставка.
Стекът за криптиране също е коригиран, за да приведе IPFire в съответствие с текущите препоръки: SSH шифроването се синхронизира с upstream и дава приоритет на AES-GCM пред AES-CTR, като по подразбиране предпочита по-стабилни режими за удостоверяване.
Също така е коригирано условие за състезание при прилагането на правилата на защитната стенаВ предишната система, набор от вече съществуващи правила можеше да изчезне, ако едновременно с това беше добавено друго правило. С тази нова система правилата остават последователни дори при чести промени в политиките.
Други промени
Що се отнася до каталога с основни пакети, Core Update 199 актуализира дълъг списък от основни компоненти. Те включват, наред с много други, coreutils 9.8, c-ares 1.34.5 (обновен срещу CVE-2025-31498), cURL 8.17.0 и BIND 9.20.16, основни стълбове за системните помощни програми и разрешаването на имена.
Ключови библиотеки и инструменти също се обновяват, като например boost 1.89.0, btrfs-progs 6.17.1, elfutils 0.194, expat 2.7.3 (с корекции за CVE-2025-59375 и CVE-2024-8176), fmt 12.1.0, FUSE 3.17.4 и glib 2.86.0, засилвайки съвместимостта и сигурността.
Включени са актуализации harfbuzz 12.1.0, hwdata 0.400, iana-etc 20251030, iproute2 6.17.0, kbd 2.9.0, less 685, libarchive 3.8.2, libcap 2.77, libgpg-error 1.56, libxml2 2.15.1 и LVM2 2.03.36всички те са критични компоненти за управление на системата, конзола, съхранение и анализ на данни.
Наборът от инструменти за изграждане и разработка също се актуализира с nasm 3.00, ninja 1.13.1, protobuf 33.0 и Rust 1.85.0Междувременно, вградената база данни и различни мрежови услуги са подобрени благодарение на SQLite 3.51.0, Suricata 8.0.2, suricata-reporter 0.5, strongSwan 6.0.3, unbound 1.24.1 и други.
Пакетът за актуализация се допълва от различни системни и административни помощни програми, като например sysvinit 3.14, udev 258, util-linux 2.41.2, vim 9.1.1854, whois 5.6.5, usbutils 019 и xfsprogs 6.17.0В допълнение към множество „почиствания на кода“, разпространени в целия код, които подобряват поддръжката и намаляват техническия дълг.
Добавки: Нови функции и актуализирани версии
Екосистемата на плъгините IPFire също се актуализира, включвайки Корекции и нови функции в няколко добавкиЕдин от инструментите, на които се обръща внимание, е arpwatch, който е предназначен да следи промените в MAC адресите в мрежата.
Грешка, която пречеше на arpwatch да Изпращайте правилното име на подател в имейлите с известияТова накара някои сървъри да отхвърлят тези съобщения. Освен това, MAC адресите вече винаги се показват с нулеви допълнения, което ги прави по-лесни за четене и предотвратява объркване.
Добавката ffmpeg е актуализирана до Версия 8.0 включва нова връзка с OpenSSL и библиотеката lame.Благодарение на това, IPFire отново може да обработва потоци от външни източници чрез HTTPS и mp3 кодиране без проблеми, възстановявайки стрийминг възможности, които някои администратори пропуснаха.
Наред с тези промени, множество допълнителни пакети в добавките са актуализирани, като например ClamAV 1.5.1, dnsdist 2.0.1, fetchmail 6.5.7, hostapd f747ae0, libmpdclient 2.23, mpd 0.24.5 и mympd 22.1.1, подобряване на антивирусните функции, усъвършенстван DNS, имейл, мултимедийни услуги и управление на точки за достъп.
Мащабът на тази версия ясно показва, че IPFire продължава да залага на разширяване на мрежовите възможности, засилване на сигурността и непрекъснато усъвършенстване на управлениетоОт новото поколение WiFi и подобрената видимост с LLDP/CDP, до модернизираното ядро, по-надеждния IPS, подобренията в OpenVPN, подсиления прокси, малките корекции на интерфейса, актуализираната библиотека с пакети и разширените добавки, всичко се обединява, за да предложи по-бърза и по-сигурна система, готова за сложни сценарии, винаги подкрепена от общност и екип, които се нуждаят от подкрепа, за да са в крак с този темп на еволюция.