Příjezd de IPFire 2.29 – základní aktualizace 200 Toto představuje zlomový bod ve vývoji této open-source distribuce firewallu a routeru. Jedná se o významnou aktualizaci, která zavádí moderní jádro, posiluje zabezpečení, zlepšuje výkon sítě a obnovuje velké množství balíčků a pluginů. Dále přidává špičkové technologie, jako je WiFi 7 a pokročilá podpora pro vyhledávání sítí.
Tato základní aktualizace se neomezuje pouze na „drobné záplaty“; jedná se o verze nabitá strukturálními změnamiNový systém blokování domén (IPFire DBL), významná vylepšení systému Suricata a systému hlášení IPS, zásadní změny v OpenVPN, robustnější proxy proti nedávným zranitelnostem, nativní podpora pro LLDP/CDP a dlouhý seznam aktualizovaných knihoven a nástrojů. To vše při zachování zaměření IPFire na stabilitu, bezpečnost a snadnou správu prostřednictvím webového rozhraní.
Aktualizace jádra IPFire 2.29 200: Nové změny jádra a platformy IPFire
Jedním ze základních kamenů této verze je aktualizace jádra IPFire. Hlavní systémová větev byla předjet Linux 6.18.x LTSTo přináší vlnu vylepšení v oblasti zabezpečení, výkonu a kompatibility hardwaru. Řada 6.18 LTS obsahuje kumulativní opravy stability, aktuální bezpečnostní záplaty a optimalizace, které snižují latenci a zlepšují výkon filtrování paketů – což je obzvláště důležité ve scénářích s vysokým provozem nebo v situacích s mnoha pravidly firewallu a NAT.
Nové jádro přináší obecné zlepšení výkonu sítěNabízí vyšší propustnost, nižší latenci a pokročilejší funkce filtrování paketů. Integruje také nejnovější opatření proti nedávným hardwarovým zranitelnostem, čímž posiluje ochranu před útoky, které zneužívají chyby v moderních procesorech. To je klíčové v prostředích, kde se IPFire používá jako perimetrický firewall nebo v kritické infrastruktuře s vysokými bezpečnostními požadavky.
V rámci tohoto přechodu je také důležité rozhodnutí: má Podpora pro souborový systém ReiserFS byla odstraněna.Samotné linuxové jádro označilo tuto technologii za zastaralou a projekt IPFire se k ní přidal. Pokud vaše aktuální instalace IPFire používá ReiserFS, nebudete moci přímo nainstalovat Core Update 200. Místo toho budete muset provést čistou přeinstalaci s použitím podporovaného souborového systému (například ext4, XFS nebo jiných podporovaných nedávnými obrazy IPFire). Webové rozhraní na to uživatele již nějakou dobu upozorňuje, takže toto omezení není zcela neočekávané.
IPFire DBL: Nový seznam blokovaných domén v IPFire 2.29 Core Update 200
Od doby, kdy se slavný seznam Shalla stal nedostupným, webová proxy server IPFire zůstala bez stabilní zdroj domén pro filtrování škodlivý obsah, sociální média nebo webové stránky pro dospělé. Vzhledem k nedostatku skutečně komplexních a udržovaných alternativ se tým IPFire rozhodl vytvořit a udržovat vlastní seznam blokovaných domén: Dvojitý IPFire.
IPFire DBL se nachází v raná beta fázeFunkčně jej však již lze využít ve dvou klíčových bodech systému:
- Filtr URL proxy serveruAdministrátor může jako zdroj domén, které chce blokovat, vybrat IPFire DBL. Tímto způsobem bude jakýkoli přístup procházející přes HTTP/HTTPS proxy kontrolován v seznamu, čímž se zabrání přístupu ke kategoriím potenciálně nebezpečných nebo nežádoucích webů.
- Integrace se Suricatou (IPS)S příchodem IPFire DBL se projekt stává také poskytovatelem pravidel pro Suricatu. Kombinací databáze domén s hloubkovou inspekcí paketů (DNS, TLS, HTTP, QUIC) může IPS důkladněji blokovat připojení k zakázaným doménám, a to i v případě, že obcházejí tradiční proxy.
Přestože databáze stále roste, záměrem je nabídnout uživatelům IPFire... robustní, aktuální a speciálně navržený seznam blokovaných adres integrovat se s ekosystémem firewallu. Tým povzbuzuje komunitu k jeho testování, hlášení problémů a poskytování návrhů na jeho vylepšení v budoucích verzích, kde se očekávají významná vylepšení a nové funkce.
Aktualizace IPFire 2.29 Core Update 200 přináší vylepšení systému prevence narušení (IPS).
Systém IPS založený na platformě Suricata prochází řadou významných změn zaměřených na zlepšení výkonu, spolehlivosti a užitečnosti jeho reportů. Předchozí aktualizace zavedla možnost uložit předkompilované podpisy do mezipaměti aby se urychlilo načítání Suricaty. Tato mezipaměť by však mohla nekontrolovatelně růst a zabírat příliš mnoho místa na disku.
Pro nápravu tohoto chování obsahuje aktualizace Core Update 200 Oprava, která umožňuje Suricatě automaticky odstraňovat nepoužívané podpisyTím se zachovává výhoda rychlého spouštění bez kompromisů v oblasti dlouhodobého úložiště, což je klíčové pro zařízení s malými disky nebo specializovaná zařízení.
Komponenta pro hlášení (suricata-reporter) byla také rozšířena: nyní pro upozornění týkající se DNS, HTTP, TLS nebo QUICJsou přidány další informace, jako je název hostitele a další relevantní podrobnosti. Tyto informace se zobrazují jak v e-mailech s upozorněním, tak v PDF sestavách, což pomáhá správcům přesněji vyšetřovat potenciální bezpečnostní incidenty nebo porušení firemních zásad.
Kromě těchto změn přinesla nedávná aktualizace blízká Core Update 200 Vylepšení správy IPS v případě poruchNa systémech s omezenou pamětí bylo pozorováno, že pokud Suricata havarovala nebo byla systémem ukončena za účelem uvolnění paměti RAM, mohl být firewall ponechán otevřenější, než bylo požadováno, a odhalil tak interní služby. Ačkoli nebyly pozorovány žádné skutečné útoky zneužívající toto chování, bylo to považováno za významné bezpečnostní riziko.
Aby se to zmírnilo, nyní existuje ostražitý proces, který dohlíží na IPS a restartuje jej, pokud zjistí neočekávaný pokles. Provoz označený jako „na bílé listině“ již není odesílán do IPS k vyloučení: je přímo přeskakován v řetězci iptables, což optimalizuje výkon a snižuje složitost. Byla také přidána možnost filtrovat provoz IPsec; dříve byl tento provoz vyloučen z analýzy IPS s výjimkou několika specifických případů a nyní jej lze kontrolovat vždy, když je směrován přes nakonfigurovaná rozhraní.
Do webového rozhraní IPS byla začleněna nová funkce. nový graf výkonnosti Zde je zobrazen zpracovaný provoz rozdělený do tří kategorií: skenovaný provoz (příchozí a odchozí), provoz na bílé listině a provoz obcházený. To poskytuje jasný přehled o skutečném využití IPS a umožňuje informovanější úpravy pravidel a zásad.
OpenVPN: Změny v konfiguraci a ověřování
Modul OpenVPN v IPFire dostává rozsáhlou sadu vylepšení, aby byla konfigurace klienta a serveru flexibilnější a v souladu se současnými osvědčenými postupy. Počínaje touto verzí... Konfigurační soubory klienta již neobsahují pevnou hodnotu MTU.Server místo toho „odesílá“ každému klientovi odpovídající hodnotu MTU, což administrátorovi umožní tuto hodnotu změnit, aniž by musel znovu vytvářet všechny uživatelské konfigurace. Stojí za zmínku, že někteří velmi staří klienti nemusí tomuto chování plně rozumět.
Pokud se používá dvoufázové ověřování s OTP, Ze serveru se nyní odesílá jednorázový token. když má klient povoleno OTP. Tím se centralizuje logika na straně serveru, čímž se předchází nekonzistencím a zjednodušuje správa dočasných přihlašovacích údajů.
Profily zákazníků navíc již neobsahují Certifikační autorita (CA) vložená mimo kontejner PKCS#12Dříve to mohlo způsobovat problémy při importu připojení pomocí nástrojů, jako je NetworkManager, z příkazového řádku kvůli duplicitním certifikátům. Vzhledem k tomu, že certifikační autorita je nyní zahrnuta v souboru PKCS#12, byla tato redundance odstraněna, aby se proces zjednodušil a zabránilo se chybám.
Do konfigurace serveru „roadwarrior“ byla přidána další nastavení. Pokud server OpenVPN nadále používá šifry považované za staršíIPFire nyní upozorňuje na tuto skutečnost, aby varoval administrátora před vhodnější migrací na modernější sady. Umožňuje také nasadit klientům více DNS a WINS serverů, což je velmi užitečné ve složitých sítích, kde koexistuje několik interních domén nebo specifických jmenných serverů.
Server OpenVPN nyní funguje vždy v režimu pro více domácnostíTo dává smysl u firewallu s více rozhraními. Zajišťuje to, že server reaguje na klienty pomocí stejné IP adresy, ke které se původně připojili, i když má počítač více odchozích cest k internetu nebo interním sítím. Byla také opravena chyba, která bránila správnému odeslání první vlastní trasy definované pro klienty, a byl vylepšen proces ověřování pomocí OTP, který v případě zaseknutí klienta vyzve k dokončení druhého faktoru.
Konečně byla tato zásada odstraněna z konfigurací klienta. auth-nocache, protože jeho Skutečný efekt byl prakticky nulový V praxi to vytvářelo falešný pocit bezpečí. Díky těmto změnám je OpenVPN v IPFire nyní více v souladu se současnými osvědčenými postupy a usnadňuje život administrátorům.
WiFi 7 a WiFi 6: generační skok v bezdrátových sítích
Jedním z nejvýraznějších aspektů této aktualizace je, že IPFire konečně plně využijte možnosti WiFi 7 (802.11be) a WiFi 6 (802.11ax) pro jeho roli bezdrátového přístupového bodu. Ačkoli hardware mohl fungovat již dříve, nové funkce těchto standardů jsou nyní odhaleny a řádně spravovány.
V nastavení bezdrátového připojení si můžete vybrat Preferovaný režim Wi-Fi a nechte IPFire, ať se postará o zbytek. Systém přidává plnou podporu pro 802.11be a 802.11ax, spolu s již podporovanými režimy 802.11ac/agn. To zahrnuje použití kanálů až do 320 MHz, což umožňuje šířku pásma přes 5,7 Gb/s se dvěma prostorovými streamy nebo až přibližně 11,5 Gb/s se čtyřmi streamy, vše bezdrátově. Tato čísla samozřejmě závisí na hardwaru a rádiovém prostředí, ale podpora je k dispozici a je připravena plně využít nejnovější generaci zařízení.
IPFire nyní automaticky detekuje pokročilé hardwarové možnosti WiFiTo, co se dříve konfigurovalo ručně jako „HT Capabilities“ a „VHT Capabilities“ – což byl zdlouhavý a k chybám náchylný proces – je nyní spravováno interně. Systém automaticky povoluje všechny funkce podporované zařízením (MU-MIMO, široké kanály atd.), což vede ke stabilnějším, rychlejším a snadněji spravovatelným bezdrátovým sítím.
V prostředích, kde se stále používá WPA2 nebo dokonce WPA1, nyní IPFire umožňuje použití SHA256 v procesu ověřování Pro posílení handshake pro klienty, kteří nemohou pracovat s WPA3. Kromě toho je ochrana SSID ve výchozím nastavení povolena: pokud se používají chráněné rámce pro správu (802.11w), systém automaticky povolí ochranu beaconem a ověření provozu kanálu, čímž zabrání určitým útokům, které manipulují se síťovou signalizací.
Pro zlepšení účinnosti přívodu vzduchu multicastové pakety jsou převedeny na unicastové Toto je výchozí nastavení, pokud síť sestává převážně z moderních, vysokorychlostních klientů. Tato technika snižuje plýtvání vysílacím časem tradičním multicastovým provozem a zlepšuje celkový zážitek, zejména v hustých sítích. Pokud to hardware umožňuje, probíhá na pozadí detekce radaru (vyžadovaná pro DFS v určitých pásmech), čímž se zabrání jakémukoli znatelnému narušení Wi-Fi služby.
Ačkoli se podoba webového rozhraní radikálně nezměnila, většina kouzel se odehrává v zákulisí, optimalizuje parametry a maximalizuje výkon hardwaru. Zařízení Lightning Wire Labs, která integrují IPFire Tyto funkce se aktivují automaticky.takže uživatelé těchto zařízení uvidí vylepšení, aniž by museli hodně zasahovat do nastavení.
Podpora pro LLDP a Cisco Discovery Protocol
Základní aktualizace 200 nativně zahrnuje podporu pro Protokol LLDP (Link Layer Discovery Protocol) a protokol Cisco Discovery Protocol verze 2 (CDPv2)Tyto protokoly umožňují IPFire „inzerovat“ a objevovat zařízení na úrovni 2. vrstvy na přímo připojených segmentech, což je velmi užitečné ve složitých síťových infrastrukturách.
Díky LLDP/CDP dokáže firewall identifikovat ke kterým portům přepínače je připojenNaopak, přepínače a monitorovací nástroje jasně vidí polohu IPFire na mapě sítě. To se bezproblémově integruje s platformami, jako je Observium a dalšími systémy pro mapování a monitorování sítě, což zjednodušuje správu rozsáhlých prostředí s mnoha VLAN, kmenovými linkami a distribuovaným zařízením.
Funkce se aktivuje a konfiguruje z webové rozhraní, v sekci Síť → LLDPkde můžete rozhodnout, na kterých rozhraních je protokol povolen, jaké informace se budou inzerovat a jak se data integrují se zbytkem síťové konfigurace.
DNS, PPP a další základní služby v IPFire 2.29 Core Update 200
DNS proxy server IPFire založený na principu Unbound-based se také dočkal významného vylepšení. Místo běhu v režimu jednoho vlákna... Unbound nyní spouští jedno vlákno na jádro CPUTo vám umožňuje využít výhod vícejádrových procesorů, které jsou dnes tak běžné, a zkrátit dobu odezvy DNS při zátěži, což je patrné v prostředích s mnoha klienty nebo mnoha současnými požadavky.
V PPP přístupových připojeních (jako jsou některé linky DSL, 4G nebo 5G) IPFire upravuje odesílání LCP keep-alive paketů tak, aby Vydávejte je pouze tehdy, když na trati není žádný skutečný provoz.Tato malá změna mírně snižuje zátěž připojení, což je obzvláště ceněno u mobilních spojení s omezenějšími zdroji nebo přísnými datovými limity.
V administračním rozhraní byl opraven vizuální detail: Stránka DNS nyní konzistentně zobrazuje následující legendu: zobrazených prvků, čímž se zabrání nejasnostem při interpretaci stavu serverů, rozlišení nebo nakonfigurovaných pracovních režimů.
Webová proxy a nedávné zabezpečení
Proxy komponenta HTTP/HTTPS prošla změnami zaměřenými na zabezpečení. A specifické zmírnění dopadu zranitelnosti CVE-2025-62168 v konfiguraci proxy serveru, čímž se posiluje ochrana před útočnými vzorci souvisejícími s daným CVE. Uživatelé transparentního nebo ověřeného proxy serveru IPFire tak mohou využívat dodatečná opatření, aniž by museli ručně upravovat konfigurační soubory.
A soubojový stav v procesu filtrování URLZa určitých okolností může být proces při kompilaci filtrovacích databází náhle ukončen, což způsobuje dočasné selhání nebo nekonzistence. Díky opravě zahrnuté v aktualizaci Core Update 200 je kompilace seznamů prováděna robustněji, čímž se minimalizuje riziko, že proces filtrování během aktualizací přestane být funkční.
Zkušenosti s webovým rozhraním a jeho administrací
Webové rozhraní IPFire prošlo několika vylepšeními použitelnosti a opravami chyb. Problém v sekci [chybí název sekce]. firewall, který bránil vytváření nových skupin lokalit, což je velmi užitečná funkce pro seskupování zemí nebo regionů a uplatňování pravidel na základě geolokace.
V části o zranitelnostech hardwaru se zpráva zobrazí, když systém ne podporuje SMT (Simultaneous Multithreading)objasnění pro administrátora, proč se určitá zmírnění rizik nebo bezpečnostní stavy zobrazují tak či onak. Dále byla opravena chyba v e-mailovém modulu, která způsobovala přihlašovací údaje s určitými speciálními znaky Při ukládání by se mohly „poškodit“, což by způsobilo chyby při ověřování na externích poštovních serverech.
Bezpečnostní aktualizace: OpenSSL, glibc a další
Pokud jde o kritické knihovny, OpenSSL je aktualizován na Verze 3.6.1 a několik zranitelností je opraveno, včetně CVE-2025-11187, CVE-2025-15467, CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795 a CVE-2026-22796. Tato kaskáda CVE poskytuje představu o pracovní zátěž kryptografického zabezpečení který je součástí této verze.
Standardní knihovna glibc byla také opravena proti několika relevantním zranitelnostem: CVE-2026-0861, CVE-2026-0915 a CVE-2025-15281Vzhledem k tomu, že se jedná o ústřední součást celého systému, je jeho udržování aktualizované a opravované, aby se snížila plocha pro útoky a zajistilo se, že aplikace budou mít prospěch z nejnovějších oprav.
Hlavní aktualizace základních balíčků a komponent
Aktualizace Core Update 200 přináší záplavu aktualizovaných balíčků. Mezi nejvýznamnější patří: Apache 2.4.66, bash 5.3p9, BIND 9.20.18, coreutils 9.9, cURL 8.18.0, dhcpcd 10.3.0, elinks 0.19.0, glib 2.87.0, GnuPG 2.4.9, GnuTLS 3.8.11 a mnoho dalších grafických a systémových knihoven, jako například harfbuzz 12.3.0, hwdata 0.403, iana-etc 20251215, intel-microcode 20251111 nebo libarchive 3.8.5.
Jsou také aktualizovány libcap-ng 0.9, libgpg-error 1.58, libidn2 2.3.8, libjpeg 3.1.3, libpcap 1.10.6, libplist 2.7.0, libpng 1.6.53, libtasn1 4.21.0.0, libtasn1, libx51.0.0. 4.5.1a také nástroje pro správu svazků a RAID, jako například LVM2 2.03.38 a mdadm 4.5. Zahrnuty jsou nové verze programů memtest (8.00), meson (1.10.1), newt (0.52.25), ninja (1.13.2), oath-toolkit (2.6.13), OpenVPN (2.6.17), OpenSSL (3.6.1 v základní sadě), SQLite (3.51.100), tzdata (2025c), readline (8.3p3), strongSwan (6.0.4), suricata (8.0.3), suricata-reporter (0.6), Rust (1.92.0), Unbound (1.24.2), wireless-regdb (2025.10.07), vim (9.1.2098) a xz (5.8.2).
Co se týče doplňků, ty byly aktualizovány. alsa 1.2.15.3, ClamAV 1.5.1, dnsdist 2.0.2, fetchmail 6.6.0, gdb 17.1, Git 2.52.0, fort-validator 1.6.7, freeradius 3.2.8, libtpms 0.10.2, opus 1.6.1, postfix 3.10.6, samba 4.23.4, strace 6.18, tmux 3.6a, Tor 0.4.8.21 a tshark 4.6.3Tento balíček aktualizací dohromady poskytuje vylepšení zabezpečení, podporu pro nové protokoly, kompatibilitu s moderním hardwarem a opravy chyb rozmístěné napříč celým stackem.
Doporučené doplňky: arpwatch, ffmpeg a další
Mezi další funkce zahrnuté v IPFire patří: arpwatch jako nový doplněkTento nástroj monitoruje MAC adresy v síti a může vás upozornit na podezřelé změny (například když je IP adresa přidružena k jiné MAC adrese). Zahrnutá verze opravuje problém s obálkou odesílatele v e-mailech, který způsoboval, že některé poštovní servery zprávy odmítaly. Nyní se odesílá správná adresa odesílatele a MAC adresy se vždy zobrazují s nulovým odsazením, což zlepšuje čitelnost sestav.
El paquete ffmpeg je aktualizován na verzi 8.0 v sadě pluginů. Byl znovu zkompilován a znovu propojen s OpenSSL a knihovnou LAME, což umožňuje obnovení streamovacích funkcí z externích zdrojů pomocí HTTPS a kódování MP3. To usnadňuje použití IPFire jako integračního bodu pro multimediální řešení, která potřebují přehrávat nebo přeposílat zabezpečený obsah.
Mezi další aktualizované příslušenství patří dnsdist 2.0.1, fetchmail 6.5.7, hostapd s nejnovějšími revizemi (f747ae0), libmpdclient 2.23, mpd 0.24.5, mympd 22.1.1, nano 8.7, openvmtools 13.0.5, Samba 4.23.2, shairport-sync 4.3.7, Tor 0.4.8.19, tshark 4.6.1 a zabbix_agentd 7.0.21 LTSTyto verze opravují chyby, přidávají podporu pro nové funkce a upravují kompatibilitu s moderními verzemi základních knihoven.
Se všemi těmito změnami je aktualizace IPFire 2.29 Core Update 200 konsolidována jako zralá a bezpečná platforma firewallu připravená pro hardware a standardy nové generaceOd WiFi 7 až po nejnovější verze jádra a kryptografické komponenty je IPFire kompatibilní s širokou škálou technologií. Ti, kteří se již spoléhají na IPFire k ochraně domácích nebo firemních sítí, v této verzi naleznou významný skok ve výkonu, viditelnosti sítě a možnostech filtrování, podporovaný aktivní komunitou a vývojovým cyklem, který neustále zahrnuje vylepšení zabezpečení a podpory.
