Пристигането de IPFire 2.29 – Основна актуализация 200 Това бележи повратна точка в еволюцията на тази дистрибуция с отворен код за защитни стени и рутери. Това е основна актуализация, която въвежда модерно ядро, засилва сигурността, подобрява мрежовата производителност и обновява голям брой пакети и плъгини. Освен това, тя добавя авангардни технологии като WiFi 7 и разширена поддръжка за откриване на мрежи.
Тази основна актуализация не се ограничава само до „незначителни корекции“; тя е версия, заредена със структурни промениНова система за блокиране на домейни (IPFire DBL), значителни подобрения в Suricata и системата за отчитане на IPS, основни промени в OpenVPN, по-стабилен прокси срещу скорошни уязвимости, вградена поддръжка за LLDP/CDP и дълъг списък от актуализирани библиотеки и инструменти. Всичко това, като същевременно се запазва фокусът на IPFire върху стабилността, сигурността и лекотата на администриране чрез уеб интерфейса.
IPFire 2.29 Core Update 200: Нови промени в ядрото и платформата на IPFire
Един от крайъгълните камъни на това издание е актуализацията на ядрото на IPFire. Основният системен клон е... изпреварен Linux 6.18.x LTSТова носи вълна от подобрения в сигурността, производителността и съвместимостта на хардуера. Линията 6.18 LTS включва натрупани корекции за стабилност, текущи корекции за сигурност и оптимизации, които намаляват латентността и подобряват производителността на филтрирането на пакети – особено важно в сценарии с висок трафик или такива с много правила за защитна стена и NAT.
Новото ядро носи общи подобрения в производителността на мрежатаТой предлага по-висока пропускателна способност, по-ниска латентност и по-разширени възможности за филтриране на пакети. Също така интегрира най-новите мерки срещу скорошни хардуерни уязвимости, засилвайки защитата срещу атаки, които експлоатират недостатъци в съвременните процесори. Това е от решаващо значение в среди, където IPFire се използва като периметърна защитна стена или в критична инфраструктура с високи изисквания за сигурност.
В рамките на този преход има и едно важно решение: то има Поддръжката за файловата система ReiserFS е премахнатаСамото ядро на Linux е маркирало тази технология като остаряла и проектът IPFire е последвал примера. Ако текущата ви инсталация на IPFire използва ReiserFS, няма да можете да приложите директно Core Update 200. Вместо това ще трябва да извършите чисто преинсталиране, използвайки поддържана файлова система (като ext4, XFS или други, поддържани от последните образи на IPFire). Уеб интерфейсът предупреждава потребителите за това от известно време, така че това ограничение не е напълно неочаквано.
IPFire DBL: Нов списък с блокирани домейни в IPFire 2.29 Core Update 200
Откакто известният списък на Shalla стана недостъпен, уеб проксито на IPFire остана без стабилен източник на домейни за филтриране злонамерено съдържание, социални медии или уебсайтове за възрастни. Предвид липсата на наистина изчерпателни и поддържани алтернативи, екипът на IPFire реши да създаде и поддържа свой собствен списък с блокирани домейни: IPFire двоен.
IPFire DBL се намира в ранна бета фазаВъпреки това, той вече може да се използва функционално в две ключови точки на системата:
- Филтър за URL адреси на прокси сървърАдминистраторът може да избере IPFire DBL като източник на домейни за блокиране. По този начин всеки достъп, преминаващ през HTTP/HTTPS прокси сървъра, ще бъде проверяван спрямо списъка, предотвратявайки достъпа до категории потенциално опасни или нежелани сайтове.
- Интеграция със Suricata (IPS)С появата на IPFire DBL, проектът се превръща и в доставчик на правила за Suricata. Чрез комбиниране на базата данни за домейни с дълбока проверка на пакети (DNS, TLS, HTTP, QUIC), IPS може по-щателно да блокира връзките към забранени домейни, дори когато те заобикалят традиционния прокси.
Въпреки че базата данни все още расте, намерението е да се предложи на потребителите на IPFire... надежден, актуален и специално разработен списък с блокирани адреси да се интегрира с екосистемата на защитните стени. Екипът насърчава общността да го тества, да докладва за проблеми и да дава предложения за усъвършенстването му в бъдещи версии, където се очакват значителни подобрения и нови възможности.
IPFire 2.29 Core Update 200 въвежда подобрения в системата за предотвратяване на прониквания (IPS).
Базираната на Suricata IPS система претърпява серия от значителни промени, насочени към подобряване на производителността, надеждността и полезността на своите отчети. Предишна актуализация въведе възможността за съхранявайте предварително компилираните сигнатури в кеша за да се ускори зареждането на Suricata. Този кеш обаче може да расте неконтролируемо и да заема твърде много дисково пространство.
За да коригира това поведение, Core Update 200 включва Пач, който позволява на Suricata автоматично да премахва неизползваните подписиТова запазва предимството на бързото време за зареждане, без да прави компромис с дългосрочното съхранение, което е от решаващо значение за устройства с малки дискове или специализирани устройства.
Компонентът за докладване (suricata-reporter) също е разширен: сега, за сигнали, свързани с DNS, HTTP, TLS или QUICДобавя се допълнителна информация, като например име на хост и други важни подробности. Тази информация се показва както в имейли с предупреждения, така и в PDF отчети, което помага на администраторите да разследват по-точно потенциални инциденти със сигурността или нарушения на корпоративните политики.
В допълнение към тези промени, скорошна актуализация, близка до Core Update 200, въведе Подобрения в управлението на IPS в случай на повредиВ системи с ограничена памет е наблюдавано, че ако Suricata се срине или бъде прекратена от системата, за да се освободи RAM памет, защитната стена може да бъде оставена по-отворена от желаното, излагайки на риск вътрешните услуги. Въпреки че не са наблюдавани реални атаки, използващи това поведение, то се счита за значителен риск за сигурността.
За да се смекчи това, сега има бдителен процес, който наблюдава IPS и го рестартира, ако открие неочакван спад. Трафикът, маркиран като „в бял списък“, вече не се изпраща към IPS за изключване: той се пропуска директно във веригата iptables, което оптимизира производителността и намалява сложността. Добавена е и възможността за филтриране на IPsec трафик; преди този трафик беше изключен от IPS анализа, освен в няколко специфични случая, и сега може да бъде проверяван всеки път, когато се маршрутизира през конфигурираните интерфейси.
В уеб интерфейса на IPS е включена нова функция. нова диаграма на производителността Това показва обработения трафик, разделен в три категории: сканиран трафик (входящ и изходящ), трафик от белия списък и трафик за заобикаляне. Това предоставя ясна представа за действителното използване на IPS и позволява по-информирани корекции на правилата и политиките.
OpenVPN: Промени в конфигурацията и удостоверяването
Модулът OpenVPN в IPFire получава значителен набор от промени, за да направи конфигурацията на клиента и сървъра по-гъвкава и съобразена с най-добрите практики. Започвайки с тази версия, Конфигурационните файлове на клиента вече не включват фиксираната стойност на MTUВместо това, сървърът ще „изпрати“ съответния MTU към всеки клиент, което позволява на администратора да промени тази стойност, без да се налага да генерира отново всички потребителски конфигурации. Струва си да се отбележи, че някои много стари клиенти може да не разбират напълно това поведение.
Ако се използва двуетапно удостоверяване с OTP, Еднократен токен вече се изпраща от сървъра. когато клиентът има активиран OTP. Това централизира логиката от страна на сървъра, избягвайки несъответствия и опростявайки управлението на временни идентификационни данни.
Освен това, профилите на клиентите вече не включват Сертифициращ орган (CA), вграден извън контейнера PKCS#12Преди това можеше да причини проблеми при импортиране на връзки с инструменти като NetworkManager от командния ред, поради дублиращи се сертификати. Тъй като CA вече е включен във файла PKCS#12, тази излишества са елиминирани, за да се опрости процесът и да се предотвратят грешки.
Добавени са още настройки към конфигурацията на сървъра „roadwarrior“. Когато OpenVPN сървър продължава да използва шифри, считани за остарелиIPFire вече подчертава това, за да предупреди администратора, че мигрирането към по-модерни пакети би било препоръчително. Това също така позволява прехвърлянето на множество DNS и WINS сървъри към клиентите, което е много полезно в сложни мрежи, където съществуват едновременно няколко вътрешни домейна или специфични сървъри за имена.
OpenVPN сървърът вече работи винаги в режим на многодомностТова има смисъл в защитна стена с множество интерфейси. Гарантира, че сървърът отговаря на клиенти, използвайки същия IP адрес, към който първоначално са се свързали, дори ако машината има множество изходящи пътища към интернет или вътрешни мрежи. Грешка, която пречеше на правилното изпращане на първия персонализиран маршрут, дефиниран за клиенти, също е отстранена, а процесът на удостоверяване с OTP е подобрен, за да подкани клиента да завърши втория фактор, ако се затрудни.
Накрая, политиката е премахната от конфигурациите на клиента. auth-nocache, тъй като е Реалният ефект беше практически нулев На практика това създаде фалшиво чувство за сигурност. С тези промени OpenVPN в IPFire вече е в по-голяма степен съобразен с най-добрите практики и улеснява живота на администраторите.
WiFi 7 и WiFi 6: скок от поколение на поколение в безжичните мрежи
Един от най-поразителните аспекти на тази актуализация е, че IPFire най-накрая се възползвайте максимално от възможностите на WiFi 7 (802.11be) и WiFi 6 (802.11ax) за ролята му на безжична точка за достъп. Въпреки че хардуерът можеше да функционира и преди, новите функции на тези стандарти вече са достъпни и се управляват правилно.
В настройките за безжична връзка можете да изберете Предпочитан WiFi режим и оставете IPFire да се погрижи за останалото. Системата добавя пълна поддръжка за 802.11be и 802.11ax, заедно с вече поддържаните режими 802.11ac/agn. Това включва използването на канали до 320 MHz, което позволява честотна лента от над 5,7 Gbps с два пространствени потока или до приблизително 11,5 Gbps с четири потока, всичко безжично. Тези цифри очевидно зависят от хардуера и радио средата, но поддръжката е налице и е готова да се възползва максимално от най-новото поколение оборудване.
IPFire вече автоматично открива разширени възможности на WiFi хардуераТова, което преди беше конфигурирано ръчно като „HT възможности“ и „VHT възможности“ – досаден и податлив на грешки процес – сега се управлява вътрешно. Системата автоматично активира всички функции, поддържани от устройството (MU-MIMO, широки канали и др.), което води до по-стабилни, по-бързи и по-лесни за управление безжични мрежи.
В среди, където WPA2 или дори WPA1 все още се използват, IPFire вече позволява използването на SHA256 в процеса на удостоверяване За да се засили ръкостискането за клиенти, които не могат да работят с WPA3. Освен това, SSID защитата е активирана по подразбиране: ако се използват защитени рамки за управление (802.11w), системата автоматично активира защита на маяци и валидиране на оперативния канал, възпрепятствайки определени атаки, които манипулират мрежовата сигнализация.
За да се подобри ефективността на въздуха, Multicast пакетите се конвертират в unicast Това е настройката по подразбиране, когато мрежата се състои предимно от съвременни, високоскоростни клиенти. Тази техника намалява загубата на ефирно време за традиционен мултикаст трафик и подобрява цялостното изживяване, особено в гъсти мрежи. Ако хардуерът позволява, радарното откриване (необходимо за DFS в определени честотни ленти) се извършва във фонов режим, предотвратявайки всякакви забележими смущения в Wi-Fi услугата.
Въпреки че формата на уеб интерфейса не се е променила радикално, по-голямата част от магията се случва зад кулисите, оптимизирайки параметрите и увеличавайки максимално хардуерната производителност. Устройствата на Lightning Wire Labs, които интегрират IPFire Тези възможности се активират автоматично.така че потребителите на тези устройства ще видят подобренията, без да се налага да докосват много настройките.
Поддръжка за LLDP и Cisco Discovery Protocol
Основната актуализация 200 включва вградена поддръжка за Протокол за откриване на канален слой (LLDP) и протокол за откриване на Cisco версия 2 (CDPv2)Тези протоколи позволяват на IPFire да „рекламира“ и открива устройства на ниво слой 2 на директно свързани сегменти, което е много полезно в сложни мрежови инфраструктури.
Благодарение на LLDP/CDP, защитната стена може да идентифицира към кои портове на комутатора е свързанОбратно, комутаторите и инструментите за мониторинг могат ясно да видят местоположението на IPFire на мрежовата карта. Това се интегрира безпроблемно с платформи като Observium и други системи за мрежово картографиране и мониторинг, опростявайки управлението на големи среди с множество VLAN, магистрални връзки и разпределено оборудване.
Функционалността се активира и конфигурира от уеб интерфейс, в секцията Мрежа → LLDPкъдето можете да решите на кои интерфейси е активиран протоколът, каква информация се рекламира и как данните се интегрират с останалата част от мрежовата конфигурация.
DNS, PPP и други основни услуги в IPFire 2.29 Core Update 200
Необвързаният DNS прокси на IPFire също е получил значително подобрение. Вместо да работи в еднонишков режим, Unbound вече стартира по една нишка на ядро на процесораТова ви позволява да се възползвате от многоядрените процесори, толкова често срещани в днешно време, и да намалите времето за отговор на DNS под натоварване, което е забележимо в среди с много клиенти или много едновременни заявки.
При PPP връзки за достъп (като някои DSL, 4G или 5G линии), IPFire настройва изпращането на LCP keep-alive пакети към Издавайте ги само когато няма реален трафик по линиятаТази малка промяна леко намалява натоварването на връзката, което е особено ценно при мобилни връзки с по-ограничени ресурси или строги ограничения за данни.
В администраторския интерфейс е коригиран визуален детайл: DNS страницата вече показва легендата постоянно на представените елементи, като се избягва объркване при интерпретиране на състоянието на сървърите, резолюциите или конфигурираните режими на работа.
Уеб прокси и скорошни защити
Компонентът за HTTP/HTTPS прокси е претърпял промени, насочени към сигурността. A специфично смекчаване на уязвимостта CVE-2025-62168 в конфигурацията на прокси сървъра, засилвайки защитата срещу модели на атаки, свързани с това CVE. По този начин потребителите на прозрачния или удостоверен прокси сървър на IPFire се възползват от допълнителни мерки, без да се налага ръчно да променят конфигурационните файлове.
А състезание в процеса на филтриране на URL адресиПри определени обстоятелства, при компилиране на филтриращите бази данни, процесът може да бъде внезапно прекратен, което да причини временни повреди или несъответствия. С корекцията, включена в Core Update 200, компилирането на списъците се извършва по-стабилно, което минимизира риска процесът на филтриране да стане неработещ по време на актуализации.
Опит с уеб интерфейс и администриране
Уеб интерфейсът на IPFire е претърпял няколко подобрения в използваемостта и корекции на грешки. Проблем в [липсващо име на секцията] е решен. защитна стена, която предотвратяваше създаването на нови групи местоположения, много полезна функция за групиране на държави или региони и прилагане на правила въз основа на геолокация.
В раздела за хардуерни уязвимости, съобщението, което се показва, когато системата не поддържа SMT (едновременно многонишково обработване)изясняване за администратора защо определени предпазни мерки или състояния на сигурност се появяват по един или друг начин. Освен това е коригирана грешка в имейл модула, при която идентификационни данни с определени специални символи Те биха могли да се „повредят“ при съхранение, което би довело до грешки при удостоверяване с външни пощенски сървъри.
Актуализации на сигурността: OpenSSL, glibc и други
По отношение на критичните библиотеки, OpenSSL е актуализиран до версия 3.6.1 и множество уязвимости са отстранени, включително CVE-2025-11187, CVE-2025-15467, CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795 и CVE-2026-22796. Тази каскада от CVE дава представа за натоварване на криптографското укрепване което е включено в тази версия.
Стандартната библиотека glibc също е поправена срещу няколко съответни уязвимости: CVE-2026-0861, CVE-2026-0915 и CVE-2025-15281Тъй като е централен компонент на цялата система, поддържането му актуален и коригиран е от съществено значение, за да се намали повърхността за атака и да се гарантира, че приложенията се възползват от най-новите корекции.
Основна актуализация на основните пакети и компоненти
Core Update 200 носи множество обновени пакети. Сред най-забележителните са: Apache 2.4.66, bash 5.3p9, BIND 9.20.18, coreutils 9.9, cURL 8.18.0, dhcpcd 10.3.0, elinks 0.19.0, glib 2.87.0, GnuPG 2.4.9, GnuTLS 3.8.11 и много други графични и системни библиотеки, като например harfbuzz 12.3.0, hwdata 0.403, iana-etc 20251215, intel-microcode 20251111 или libarchive 3.8.5.
Те също са актуализирани libcap-ng 0.9, libgpg-грешка 1.58, libidn2 2.3.8, libjpeg 3.1.3, libpcap 1.10.6, libplist 2.7.0, libpng 1.6.53, libtasn1 4.21.0, liburcu 0.15.5, libxcrypt 4.5.1както и инструменти за управление на томове и RAID, като LVM2 2.03.38 и mdadm 4.5. Включени са нови версии на memtest (8.00), meson (1.10.1), newt (0.52.25), ninja (1.13.2), oath-toolkit (2.6.13), OpenVPN (2.6.17), OpenSSL (3.6.1 в базовия стек), SQLite (3.51.100), tzdata (2025c), readline (8.3p3), strongSwan (6.0.4), suricata (8.0.3), suricata-reporter (0.6), Rust (1.92.0), Unbound (1.24.2), wireless-regdb (2025.10.07), vim (9.1.2098) и xz (5.8.2).
Що се отнася до добавките, те са актуализирани alsa 1.2.15.3, ClamAV 1.5.1, dnsdist 2.0.2, fetchmail 6.6.0, gdb 17.1, Git 2.52.0, fort-validator 1.6.7, freeradius 3.2.8, libtpms 0.10.2, opus 1.6.1, postfix 3.10.6, samba 4.23.4, strace 6.18, tmux 3.6a, Tor 0.4.8.21 и tshark 4.6.3Взети заедно, този пакет за актуализации предоставя подобрения в сигурността, поддръжка за нови протоколи, съвместимост със съвременен хардуер и корекции на грешки, разпределени в целия стек.
Препоръчани добавки: arpwatch, ffmpeg и други
Сред допълнителните функции, включени в IPFire, се открояват следните: arpwatch като ново допълнениеТози инструмент следи MAC адресите в мрежата и може да ви предупреди за подозрителни промени (например, когато IP адрес е свързан с различен MAC адрес). Включената версия коригира проблем с плика на подателя в имейлите, който караше някои пощенски сървъри да отхвърлят съобщения. Сега се изпраща правилен адрес на подателя и MAC адресите винаги се показват с нулево допълване, което подобрява четимостта на отчетите.
пакет ffmpeg е актуализиран до версия 8.0 в пакета с плъгини. Той е прекомпилиран и прелинкиран с OpenSSL и библиотеката LAME, което позволява възстановяване на функционалността за стрийминг от външни източници, използващи HTTPS и MP3 кодиране. Това улеснява използването на IPFire като точка за интеграция за мултимедийни решения, които трябва да възпроизвеждат или препращат защитено съдържание.
Други аксесоари, които се актуализират, включват dnsdist 2.0.1, fetchmail 6.5.7, hostapd с последните ревизии (f747ae0), libmpdclient 2.23, mpd 0.24.5, mympd 22.1.1, nano 8.7, openvmtools 13.0.5, Samba 4.23.2, shairport-sync 4.3.7, Tor 0.4.8.19, tshark 4.6.1 и zabbix_agentd 7.0.21 LTSТези версии коригират грешки, добавят поддръжка за нови функции и настройват съвместимостта със съвременни версии на базовите библиотеки.
С всички тези промени, IPFire 2.29 Core Update 200 е консолидиран като зряла, сигурна платформа за защитни стени, готова за хардуер и стандарти от следващо поколениеОт WiFi 7 до най-новите версии на ядрото и криптографските компоненти, IPFire е съвместим с широк спектър от технологии. Тези, които вече разчитат на IPFire за защита на домашни или бизнес мрежи, ще открият в тази версия значителен скок в производителността, видимостта на мрежата и възможностите за филтриране, подкрепени от активна общност и цикъл на разработка, който продължава да включва постоянни подобрения в сигурността и поддръжката.
