Η άφιξη de IPFire 2.29 – Ενημέρωση πυρήνα 200 Αυτό σηματοδοτεί ένα σημείο καμπής στην εξέλιξη αυτής της διανομής τείχους προστασίας και δρομολογητή ανοιχτού κώδικα. Πρόκειται για μια σημαντική ενημέρωση που εισάγει έναν σύγχρονο πυρήνα, ενισχύει την ασφάλεια, βελτιώνει την απόδοση του δικτύου και ανανεώνει έναν μεγάλο αριθμό πακέτων και plugins. Επιπλέον, προσθέτει τεχνολογίες αιχμής όπως το WiFi 7 και προηγμένη υποστήριξη ανακάλυψης δικτύου.
Αυτή η Βασική Ενημέρωση δεν περιορίζεται σε «μικρές ενημερώσεις κώδικα». είναι μια έκδοση φορτωμένη με δομικές αλλαγέςΈνα νέο σύστημα λίστας αποκλεισμού τομέων (IPFire DBL), σημαντικές βελτιώσεις στο Suricata και στο σύστημα αναφοράς IPS, σημαντικές αλλαγές στο OpenVPN, ένα πιο ισχυρό proxy έναντι πρόσφατων ευπαθειών, εγγενής υποστήριξη για LLDP/CDP και μια μακρά λίστα ενημερωμένων βιβλιοθηκών και εργαλείων. Όλα αυτά διατηρώντας παράλληλα την εστίαση του IPFire στη σταθερότητα, την ασφάλεια και την ευκολία διαχείρισης μέσω της διεπαφής ιστού.
IPFire 2.29 Core Update 200: Νέες αλλαγές στον πυρήνα και την πλατφόρμα του IPFire
Ένας από τους ακρογωνιαίους λίθους αυτής της έκδοσης είναι η ενημέρωση πυρήνα IPFire. Ο κύριος κλάδος συστήματος έχει... προσπερασμένος Linux 6.18.x LTSΑυτό φέρνει ένα κύμα βελτιώσεων στην ασφάλεια, την απόδοση και τη συμβατότητα υλικού. Η σειρά 6.18 LTS περιλαμβάνει συσσωρευμένες διορθώσεις σταθερότητας, τρέχουσες ενημερώσεις ασφαλείας και βελτιστοποιήσεις που μειώνουν την καθυστέρηση και βελτιώνουν την απόδοση φιλτραρίσματος πακέτων — ιδιαίτερα σημαντικό σε σενάρια υψηλής επισκεψιμότητας ή σε εκείνα με πολλούς κανόνες τείχους προστασίας και NAT.
Ο νέος πυρήνας φέρνει γενικές βελτιώσεις στην απόδοση του δικτύουΠροσφέρει υψηλότερη απόδοση, χαμηλότερη καθυστέρηση και πιο προηγμένες δυνατότητες φιλτραρίσματος πακέτων. Ενσωματώνει επίσης τις πιο πρόσφατες μετριασμούς έναντι πρόσφατων ευπαθειών υλικού, ενισχύοντας την προστασία από επιθέσεις που εκμεταλλεύονται ελαττώματα στις σύγχρονες CPU. Αυτό είναι κρίσιμο σε περιβάλλοντα όπου το IPFire χρησιμοποιείται ως περιμετρικό τείχος προστασίας ή σε κρίσιμες υποδομές με υψηλές απαιτήσεις ασφαλείας.
Μέσα σε αυτή τη μετάβαση υπάρχει επίσης μια σημαντική απόφαση: έχει Η υποστήριξη για το σύστημα αρχείων ReiserFS έχει καταργηθείΟ ίδιος ο πυρήνας του Linux έχει χαρακτηρίσει αυτήν την τεχνολογία ως παρωχημένη και το έργο IPFire ακολούθησε το παράδειγμα. Εάν η τρέχουσα εγκατάσταση IPFire χρησιμοποιεί ReiserFS, δεν θα μπορείτε να εφαρμόσετε απευθείας την Ενημέρωση Core 200. Αντίθετα, θα πρέπει να εκτελέσετε μια καθαρή επανεγκατάσταση χρησιμοποιώντας ένα υποστηριζόμενο σύστημα αρχείων (όπως ext4, XFS ή άλλα που υποστηρίζονται από πρόσφατες εικόνες IPFire). Η διεπαφή ιστού προειδοποιεί τους χρήστες για αυτό εδώ και αρκετό καιρό, επομένως αυτός ο περιορισμός δεν είναι εντελώς απροσδόκητος.
IPFire DBL: Νέα λίστα αποκλεισμού domain στην IPFire 2.29 Core Update 200
Από τότε που η διάσημη λίστα Shalla δεν ήταν πλέον διαθέσιμη, ο διαδικτυακός διακομιστής μεσολάβησης της IPFire είχε μείνει χωρίς σταθερή πηγή τομέων για φιλτράρισμα κακόβουλο περιεχόμενο, μέσα κοινωνικής δικτύωσης ή ιστότοποι ενηλίκων. Δεδομένης της έλλειψης πραγματικά ολοκληρωμένων και συντηρούμενων εναλλακτικών λύσεων, η ομάδα IPFire αποφάσισε να δημιουργήσει και να διατηρήσει τη δική της λίστα αποκλεισμού domain: IPFire DBL.
Το IPFire DBL βρίσκεται σε ένα πρώιμη βήτα φάσηΩστόσο, μπορεί ήδη να χρησιμοποιηθεί λειτουργικά σε δύο βασικά σημεία του συστήματος:
- Φίλτρο URL διακομιστή μεσολάβησηςΟ διαχειριστής μπορεί να επιλέξει το IPFire DBL ως την πηγή των τομέων που θα αποκλειστούν. Με αυτόν τον τρόπο, οποιαδήποτε πρόσβαση που διέρχεται μέσω του διακομιστή μεσολάβησης HTTP/HTTPS θα ελέγχεται σε σχέση με τη λίστα, αποτρέποντας την πρόσβαση σε κατηγορίες δυνητικά επικίνδυνων ή ανεπιθύμητων ιστότοπων.
- Ενσωμάτωση με Suricata (IPS)Με την άφιξη του IPFire DBL, το έργο γίνεται επίσης πάροχος κανόνων για το Suricata. Συνδυάζοντας τη βάση δεδομένων domain με τον εις βάθος έλεγχο πακέτων (DNS, TLS, HTTP, QUIC), το IPS μπορεί να αποκλείσει πιο διεξοδικά τις συνδέσεις σε απαγορευμένους τομείς, ακόμα και όταν παρακάμπτουν τον παραδοσιακό διακομιστή μεσολάβησης.
Παρόλο που η βάση δεδομένων εξακολουθεί να αναπτύσσεται, η πρόθεση είναι να προσφερθεί στους χρήστες του IPFire ένα ισχυρή, ενημερωμένη και ειδικά σχεδιασμένη λίστα αποκλεισμού για ενσωμάτωση με το οικοσύστημα του τείχους προστασίας. Η ομάδα ενθαρρύνει την κοινότητα να το δοκιμάσει, να αναφέρει προβλήματα και να παρέχει προτάσεις για τη βελτίωσή του σε μελλοντικές εκδόσεις, όπου αναμένονται σημαντικές βελτιώσεις και νέες δυνατότητες.
Η ενημέρωση 200 του IPFire 2.29 Core εισάγει βελτιώσεις στο σύστημα πρόληψης εισβολών (IPS)
Το IPS που βασίζεται στο Suricata λαμβάνει μια σειρά από σημαντικές αλλαγές που στοχεύουν στη βελτίωση της απόδοσης, της αξιοπιστίας και της χρησιμότητας των αναφορών του. Μια προηγούμενη ενημέρωση εισήγαγε τη δυνατότητα αποθηκεύστε τις προμεταγλωττισμένες υπογραφές στην προσωρινή μνήμη για να επιταχυνθεί η φόρτωση του Suricata. Ωστόσο, αυτή η προσωρινή μνήμη θα μπορούσε να αυξηθεί ανεξέλεγκτα και να καταλάβει πολύ χώρο στο δίσκο.
Για να διορθώσει αυτήν τη συμπεριφορά, η Core Update 200 ενσωματώνει ένα Ενημέρωση που επιτρέπει στο Suricata να αφαιρεί αυτόματα τις αχρησιμοποίητες υπογραφέςΑυτό διατηρεί το πλεονέκτημα των γρήγορων χρόνων εκκίνησης χωρίς να διακυβεύεται η μακροπρόθεσμη αποθήκευση, η οποία είναι ζωτικής σημασίας για συσκευές με μικρούς δίσκους ή ειδικές συσκευές.
Το στοιχείο αναφοράς (suricata-reporter) έχει επίσης επεκταθεί: τώρα, για ειδοποιήσεις που σχετίζονται με DNS, HTTP, TLS ή QUICΠροστίθενται πρόσθετες πληροφορίες, όπως το όνομα κεντρικού υπολογιστή και άλλες σχετικές λεπτομέρειες. Αυτές οι πληροφορίες εμφανίζονται τόσο σε email ειδοποιήσεων όσο και σε αναφορές PDF, βοηθώντας τους διαχειριστές να διερευνούν με μεγαλύτερη ακρίβεια πιθανά περιστατικά ασφαλείας ή παραβιάσεις εταιρικής πολιτικής.
Εκτός από αυτές τις αλλαγές, εισήχθη μια πρόσφατη ενημέρωση κοντά στην Βασική Ενημέρωση 200 Βελτιώσεις στη διαχείριση του IPS σε περίπτωση βλαβώνΣε συστήματα με περιορισμένη μνήμη, παρατηρήθηκε ότι εάν το Suricata κατέρρεε ή τερματιζόταν από το σύστημα για να ελευθερωθεί μνήμη RAM, το τείχος προστασίας θα μπορούσε να παραμείνει πιο ανοιχτό από το επιθυμητό, εκθέτοντας εσωτερικές υπηρεσίες. Παρόλο που δεν παρατηρήθηκαν πραγματικές επιθέσεις που να εκμεταλλεύονται αυτήν τη συμπεριφορά, θεωρήθηκε σημαντικός κίνδυνος ασφαλείας.
Για τον μετριασμό αυτού, υπάρχει πλέον ένα επαγρύπνηση που επιβλέπει το IPS και το επανεκκινεί εάν εντοπίσει μια απροσδόκητη πτώση. Η κίνηση που έχει επισημανθεί ως "στη λίστα επιτρεπόμενων" δεν αποστέλλεται πλέον στο IPS για εξαίρεση: παραλείπεται απευθείας στην αλυσίδα iptables, βελτιστοποιώντας την απόδοση και μειώνοντας την πολυπλοκότητα. Έχει επίσης προστεθεί η δυνατότητα φιλτραρίσματος της κίνησης IPsec. Προηγουμένως, αυτή η κίνηση εξαιρούνταν από την ανάλυση IPS εκτός από μερικές συγκεκριμένες περιπτώσεις και τώρα μπορεί να ελεγχθεί κάθε φορά που δρομολογείται μέσω των διαμορφωμένων διεπαφών.
Μια νέα λειτουργία έχει ενσωματωθεί στη διεπαφή ιστού του IPS νέο διάγραμμα απόδοσης Αυτό δείχνει την επεξεργασμένη επισκεψιμότητα χωρισμένη σε τρεις κατηγορίες: σαρωμένη επισκεψιμότητα (εισερχόμενη και εξερχόμενη), επισκεψιμότητα από λίστα επιτρεπόμενων και επισκεψιμότητα παράκαμψης. Αυτό παρέχει μια σαφή εικόνα της πραγματικής χρήσης IPS και επιτρέπει πιο ενημερωμένες προσαρμογές κανόνων και πολιτικών.
OpenVPN: Αλλαγές στη διαμόρφωση και τον έλεγχο ταυτότητας
Η ενότητα OpenVPN στο IPFire λαμβάνει ένα σημαντικό σύνολο τροποποιήσεων για να κάνει τη διαμόρφωση του προγράμματος-πελάτη και του διακομιστή πιο ευέλικτη και ευθυγραμμισμένη με τις τρέχουσες βέλτιστες πρακτικές. Ξεκινώντας από αυτήν την έκδοση, το Τα αρχεία διαμόρφωσης προγράμματος-πελάτη δεν περιλαμβάνουν πλέον την σταθερή τιμή MTUΑντίθετα, ο διακομιστής θα "προωθήσει" την κατάλληλη MTU σε κάθε πελάτη, επιτρέποντας στον διαχειριστή να αλλάξει αυτήν την τιμή χωρίς να χρειάζεται να αναδημιουργήσει όλες τις διαμορφώσεις χρήστη. Αξίζει να σημειωθεί ότι ορισμένοι πολύ παλιοί πελάτες ενδέχεται να μην κατανοούν πλήρως αυτήν τη συμπεριφορά.
Εάν χρησιμοποιείται έλεγχος ταυτότητας δύο βημάτων με OTP, το Ένα διακριτικό μίας χρήσης αποστέλλεται τώρα από τον διακομιστή. όταν ο πελάτης έχει ενεργοποιημένο το OTP. Αυτό συγκεντρώνει τη λογική στην πλευρά του διακομιστή, αποφεύγοντας τις ασυνέπειες και απλοποιώντας τη διαχείριση των προσωρινών διαπιστευτηρίων.
Επιπλέον, τα προφίλ πελατών δεν περιλαμβάνουν πλέον το Αρχή έκδοσης πιστοποιητικών (CA) ενσωματωμένη εκτός του κοντέινερ PKCS#12Προηγουμένως, αυτό θα μπορούσε να προκαλέσει προβλήματα κατά την εισαγωγή συνδέσεων με εργαλεία όπως το NetworkManager από τη γραμμή εντολών, λόγω διπλότυπων πιστοποιητικών. Δεδομένου ότι η CA περιλαμβάνεται πλέον στο αρχείο PKCS#12, αυτός ο πλεονασμός έχει εξαλειφθεί για την απλοποίηση της διαδικασίας και την αποφυγή σφαλμάτων.
Έχουν προστεθεί περισσότερες ρυθμίσεις στη διαμόρφωση του διακομιστή "roadwarrior". Όταν ένας διακομιστής OpenVPN συνεχίζει να χρησιμοποιεί κρυπτογραφήματα που θεωρούνται παλαιάΤο IPFire το επισημαίνει τώρα αυτό για να προειδοποιήσει τον διαχειριστή ότι η μετεγκατάσταση σε πιο σύγχρονες σουίτες θα ήταν σκόπιμη. Επιτρέπει επίσης την προώθηση πολλαπλών διακομιστών DNS και WINS σε πελάτες, κάτι που είναι πολύ χρήσιμο σε σύνθετα δίκτυα όπου συνυπάρχουν αρκετοί εσωτερικοί τομείς ή συγκεκριμένοι διακομιστές ονομάτων.
Ο διακομιστής OpenVPN λειτουργεί τώρα πάντα σε λειτουργία πολλαπλών οικιώνΑυτό έχει νόημα σε ένα τείχος προστασίας με πολλαπλές διεπαφές. Εξασφαλίζει ότι ο διακομιστής ανταποκρίνεται στους πελάτες χρησιμοποιώντας την ίδια διεύθυνση IP στην οποία συνδέθηκε αρχικά, ακόμα κι αν το μηχάνημα έχει πολλαπλές εξερχόμενες διαδρομές προς το διαδίκτυο ή τα εσωτερικά δίκτυα. Έχει επίσης διορθωθεί ένα σφάλμα που εμπόδιζε την σωστή προώθηση της πρώτης προσαρμοσμένης διαδρομής που ορίστηκε για τους πελάτες και η ροή ελέγχου ταυτότητας OTP έχει βελτιωθεί ώστε να ζητά από τον πελάτη να ολοκληρώσει τον δεύτερο παράγοντα εάν κολλήσει.
Τέλος, η πολιτική έχει αφαιρεθεί από τις ρυθμίσεις παραμέτρων του προγράμματος-πελάτη auth-nocache, αφού είναι Το πραγματικό αποτέλεσμα ήταν πρακτικά μηδενικό Στην πράξη, αυτό δημιούργησε μια ψευδή αίσθηση ασφάλειας. Με αυτές τις αλλαγές, το OpenVPN στο IPFire είναι πλέον πιο ευθυγραμμισμένο με τις τρέχουσες βέλτιστες πρακτικές και διευκολύνει τη ζωή των διαχειριστών.
WiFi 7 και WiFi 6: ένα γενεαλογικό άλμα στα ασύρματα δίκτυα
Μία από τις πιο εντυπωσιακές πτυχές αυτής της ενημέρωσης είναι ότι το IPFire Τέλος, αξιοποιήστε όλες τις δυνατότητες του WiFi 7 (802.11be) και του WiFi 6 (802.11ax) για τον ρόλο του ως σημείου ασύρματης πρόσβασης. Παρόλο που το υλικό μπορούσε να λειτουργήσει ήδη από πριν, τα νέα χαρακτηριστικά αυτών των προτύπων είναι πλέον εκτεθειμένα και διαχειρίζονται σωστά.
Στις ρυθμίσεις ασύρματης σύνδεσης μπορείτε να επιλέξετε Προτιμώμενη λειτουργία WiFi και αφήστε την IPFire να αναλάβει τα υπόλοιπα. Το σύστημα προσθέτει πλήρη υποστήριξη για τα 802.11be και 802.11ax, μαζί με τις ήδη υποστηριζόμενες λειτουργίες 802.11ac/agn. Αυτό περιλαμβάνει τη χρήση καναλιών έως και 320 MHz, επιτρέποντας εύρος ζώνης άνω των 5,7 Gbps με δύο χωρικές ροές ή έως περίπου 11,5 Gbps με τέσσερις ροές, όλα ασύρματα. Αυτά τα στοιχεία προφανώς εξαρτώνται από το υλικό και το περιβάλλον ραδιοεπικοινωνίας, αλλά η υποστήριξη είναι εκεί και έτοιμη να αξιοποιήσει πλήρως την τελευταία γενιά εξοπλισμού.
Το IPFire πλέον ανιχνεύει αυτόματα προηγμένες δυνατότητες υλικού WiFiΑυτό που προηγουμένως διαμορφωνόταν χειροκίνητα ως «Δυνατότητες HT» και «Δυνατότητες VHT» —μια κουραστική και επιρρεπής σε σφάλματα διαδικασία— πλέον διαχειρίζεται εσωτερικά. Το σύστημα ενεργοποιεί αυτόματα όλες τις λειτουργίες που υποστηρίζονται από τη συσκευή (MU-MIMO, ευρεία κανάλια κ.λπ.), με αποτέλεσμα πιο σταθερά, ταχύτερα και πιο εύκολα στη διαχείριση ασύρματα δίκτυα.
Σε περιβάλλοντα όπου εξακολουθούν να χρησιμοποιούνται WPA2 ή ακόμα και WPA1, το IPFire επιτρέπει πλέον τη χρήση του SHA256 στη διαδικασία ελέγχου ταυτότητας Για την ενίσχυση της χειραψίας (handshake) για υπολογιστές-πελάτες που δεν μπορούν να λειτουργήσουν με WPA3. Επιπλέον, η προστασία SSID είναι ενεργοποιημένη από προεπιλογή: εάν χρησιμοποιούνται προστατευμένα πλαίσια διαχείρισης (802.11w), το σύστημα ενεργοποιεί αυτόματα την προστασία beacon και την επικύρωση λειτουργικού καναλιού, εμποδίζοντας ορισμένες επιθέσεις που χειραγωγούν τη σηματοδότηση δικτύου.
Για τη βελτίωση της απόδοσης του αέρα, το Τα πακέτα πολλαπλής διανομής μετατρέπονται σε πακέτα unicast Αυτή είναι η προεπιλεγμένη ρύθμιση όταν το δίκτυο αποτελείται κυρίως από σύγχρονους, υψηλής ταχύτητας πελάτες. Αυτή η τεχνική μειώνει τον χρόνο ομιλίας που σπαταλιέται στην παραδοσιακή κίνηση πολλαπλής διανομής και βελτιώνει τη συνολική εμπειρία, ειδικά σε πυκνά δίκτυα. Εάν το επιτρέπει το υλικό, η ανίχνευση ραντάρ (απαιτείται για το DFS σε ορισμένες ζώνες) εκτελείται στο παρασκήνιο, αποτρέποντας οποιαδήποτε αισθητή διακοπή της υπηρεσίας Wi-Fi.
Παρόλο που η μορφή της διεπαφής ιστού δεν έχει αλλάξει ριζικά, το μεγαλύτερο μέρος της μαγείας συμβαίνει στο παρασκήνιο, βελτιστοποιώντας τις παραμέτρους και μεγιστοποιώντας την απόδοση του υλικού. Οι συσκευές της Lightning Wire Labs που ενσωματώνουν το IPFire Αυτές οι δυνατότητες ενεργοποιούνται αυτόματα.έτσι ώστε οι χρήστες αυτών των συσκευών να δουν τις βελτιώσεις χωρίς να χρειάζεται να αγγίξουν πολύ τις ρυθμίσεις.
Υποστήριξη για LLDP και Cisco Discovery Protocol
Η Βασική Ενημέρωση 200 ενσωματώνει εγγενώς υποστήριξη για Πρωτόκολλο εντοπισμού επιπέδου σύνδεσης (LLDP) και πρωτόκολλο εντοπισμού Cisco έκδοση 2 (CDPv2)Αυτά τα πρωτόκολλα επιτρέπουν στο IPFire να «διαφημίζει» και να ανακαλύπτει συσκευές σε επίπεδο επιπέδου 2 σε άμεσα συνδεδεμένα τμήματα, κάτι που είναι πολύ χρήσιμο σε πολύπλοκες υποδομές δικτύου.
Χάρη στο LLDP/CDP, το τείχος προστασίας μπορεί να αναγνωρίσει σε ποιες θύρες διακόπτη είναι συνδεδεμένοΑντίθετα, οι διακόπτες και τα εργαλεία παρακολούθησης μπορούν να δουν με σαφήνεια την τοποθεσία του IPFire στον χάρτη δικτύου. Αυτό ενσωματώνεται άψογα με πλατφόρμες όπως το Observium και άλλα συστήματα χαρτογράφησης και παρακολούθησης δικτύου, απλοποιώντας τη διαχείριση μεγάλων περιβαλλόντων με πολλά VLAN, ζεύξεις κορμού και κατανεμημένο εξοπλισμό.
Η λειτουργικότητα ενεργοποιείται και διαμορφώνεται από το διεπαφή ιστού, στην ενότητα Δίκτυο → LLDPόπου μπορείτε να αποφασίσετε σε ποιες διεπαφές είναι ενεργοποιημένο το πρωτόκολλο, ποιες πληροφορίες διαφημίζονται και πώς τα δεδομένα ενσωματώνονται με την υπόλοιπη διαμόρφωση δικτύου.
DNS, PPP και άλλες βασικές υπηρεσίες στο IPFire 2.29 Core Update 200
Ο διακομιστής μεσολάβησης DNS που βασίζεται σε Unbound της IPFire έχει επίσης αναβαθμιστεί σημαντικά. Αντί να εκτελείται σε λειτουργία single-threaded, Το Unbound τώρα εκκινεί ένα νήμα ανά πυρήνα CPU.Αυτό σας επιτρέπει να αξιοποιήσετε τους πολυπύρηνους επεξεργαστές που είναι τόσο συνηθισμένοι στις μέρες μας και να μειώσετε τους χρόνους απόκρισης DNS υπό φόρτο, κάτι που είναι αισθητό σε περιβάλλοντα με πολλούς πελάτες ή πολλά ταυτόχρονα αιτήματα.
Σε συνδέσεις πρόσβασης PPP (όπως ορισμένες γραμμές DSL, 4G ή 5G), το IPFire προσαρμόζει την αποστολή πακέτων LCP keep-alive ώστε να Εκδώστε τα μόνο όταν δεν υπάρχει πραγματική κίνηση στη γραμμήΑυτή η μικρή αλλαγή μειώνει ελαφρώς το φορτίο στη σύνδεση, κάτι που εκτιμάται ιδιαίτερα σε κινητές συνδέσεις με πιο περιορισμένους πόρους ή αυστηρά όρια δεδομένων.
Διορθώθηκε μια οπτική λεπτομέρεια στη διεπαφή διαχείρισης: Η σελίδα DNS εμφανίζει πλέον με συνέπεια τον ακόλουθο υπόμνημα: των αναπαριστώμενων στοιχείων, αποφεύγοντας τη σύγχυση κατά την ερμηνεία της κατάστασης των διακομιστών, των αναλύσεων ή των διαμορφωμένων τρόπων λειτουργίας.
Διακομιστής μεσολάβησης ιστού και πρόσφατη ασφάλεια
Το στοιχείο διακομιστή μεσολάβησης HTTP/HTTPS έχει λάβει αλλαγές που εστιάζουν στην ασφάλεια. A συγκεκριμένος μετριασμός έναντι ευπάθειας CVE-2025-62168 εντός της διαμόρφωσης του proxy, ενισχύοντας την προστασία από μοτίβα επίθεσης που σχετίζονται με αυτό το CVE. Με αυτόν τον τρόπο, όσοι χρησιμοποιούν το διαφανές proxy ή το authenticated proxy του IPFire επωφελούνται από πρόσθετα μέτρα χωρίς να χρειάζεται να τροποποιούν χειροκίνητα τα αρχεία διαμόρφωσης.
ΕΝΑ συνθήκη φυλής στη διαδικασία φιλτραρίσματος URLΥπό ορισμένες συνθήκες, κατά τη μεταγλώττιση των βάσεων δεδομένων φιλτραρίσματος, η διαδικασία θα μπορούσε να τερματιστεί απότομα, προκαλώντας προσωρινές αποτυχίες ή ασυνέπειες. Με την επιδιόρθωση που περιλαμβάνεται στην Βασική Ενημέρωση 200, η μεταγλώττιση των λιστών εκτελείται πιο αποτελεσματικά, ελαχιστοποιώντας τον κίνδυνο η διαδικασία φιλτραρίσματος να καταστεί μη λειτουργική κατά τη διάρκεια των ενημερώσεων.
Διεπαφή ιστού και εμπειρία διαχείρισης
Η διεπαφή ιστού του IPFire έχει υποστεί αρκετές βελτιώσεις χρηστικότητας και διορθώσεις σφαλμάτων. Ένα πρόβλημα στο [λείπει το όνομα της ενότητας] έχει επιλυθεί. τείχος προστασίας που εμπόδιζε τη δημιουργία νέων ομάδων τοποθεσιών, μια πολύ χρήσιμη συνάρτηση για την ομαδοποίηση χωρών ή περιοχών και την εφαρμογή κανόνων με βάση τη γεωγραφική τοποθεσία.
Στην ενότητα ευπάθειες υλικού, το μήνυμα που εμφανίζεται όταν το σύστημα δεν υποστηρίζει SMT (Ταυτόχρονη πολυνηματική επεξεργασία)διευκρινίζοντας για τον διαχειριστή γιατί εμφανίζονται με τον έναν ή τον άλλον τρόπο ορισμένες μετριασμοί ή καταστάσεις ασφαλείας. Επιπλέον, διορθώθηκε ένα σφάλμα στη μονάδα email, όπου διαπιστευτήρια με ορισμένους ειδικούς χαρακτήρες Ενδέχεται να "καταστραφούν" κατά την αποθήκευση, προκαλώντας σφάλματα ελέγχου ταυτότητας με εξωτερικούς διακομιστές αλληλογραφίας.
Ενημερώσεις ασφαλείας: OpenSSL, glibc και άλλα
Όσον αφορά τις κρίσιμες βιβλιοθήκες, το OpenSSL ενημερώνεται σε έκδοση 3.6.1 και επιδιορθώνονται πολλαπλά τρωτά σημεία, συμπεριλαμβανομένων των CVE-2025-11187, CVE-2025-15467, CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795 και CVE-2026-22796. Αυτή η αλληλουχία CVE δίνει μια ιδέα για το φόρτος εργασίας κρυπτογραφικής σκλήρυνσης το οποίο περιλαμβάνεται σε αυτήν την έκδοση.
Η τυπική βιβλιοθήκη glibc έχει επίσης ενημερωθεί για διάφορα σχετικά τρωτά σημεία: CVE-2026-0861, CVE-2026-0915 και CVE-2025-15281Καθώς αποτελεί κεντρικό στοιχείο ολόκληρου του συστήματος, η διατήρησή του ενημερωμένου και διορθωμένου είναι απαραίτητη για τη μείωση της επιφάνειας επίθεσης και τη διασφάλιση ότι οι εφαρμογές επωφελούνται από τις πιο πρόσφατες διορθώσεις.
Σημαντική ενημέρωση σε βασικά πακέτα και στοιχεία
Η Βασική Ενημέρωση 200 φέρνει μια πληθώρα ενημερωμένων πακέτων. Μεταξύ των πιο αξιοσημείωτων είναι: Apache 2.4.66, bash 5.3p9, BIND 9.20.18, coreutils 9.9, cURL 8.18.0, dhcpcd 10.3.0, elinks 0.19.0, glib 2.87.0, GnuPG 2.4.9, GnuTLS 3.8.11 και πολλές άλλες βιβλιοθήκες γραφικών και συστημάτων όπως harfbuzz 12.3.0, hwdata 0.403, iana-etc 20251215, intel-microcode 20251111 ή libarchive 3.8.5.
Είναι επίσης ενημερωμένα libcap-ng 0.9, libgpg-error 1.58, libidn2 2.3.8, libjpeg 3.1.3, libpcap 1.10.6, libplist 2.7.0, libpng 1.6.53, libtasn1 4.21.0xcu0.15.5. 4.5.1καθώς και εργαλεία διαχείρισης τόμων και RAID όπως LVM2 2.03.38 και mdadm 4.5. Περιλαμβάνονται νέες εκδόσεις των memtest (8.00), meson (1.10.1), newt (0.52.25), ninja (1.13.2), oat-toolkit (2.6.13), OpenVPN (2.6.17), OpenSSL (3.6.1 στη βασική στοίβα), SQLite (3.51.100), tzdata (2025c), readline (8.3p3), strongSwan (6.0.4), suricata (8.0.3), suricata-reporter (0.6), Rust (1.92.0), Unbound (1.24.2), wireless-regdb (2025.10.07), vim (9.1.2098) και xz (5.8.2).
Όσο για τα πρόσθετα, έχουν ενημερωθεί alsa 1.2.15.3, ClamAV 1.5.1, dnsdist 2.0.2, fetchmail 6.6.0, gdb 17.1, Git 2.52.0, fort-validator 1.6.7, freeradius 3.2.8, libtpms 0.10.2, opus 1.6.1, postfix 3.10.6, samba 4.23.4, strace 6.18, tmux 3.6a, Tor 0.4.8.21 και tshark 4.6.3Συνολικά, αυτό το πακέτο ενημέρωσης παρέχει βελτιώσεις ασφαλείας, υποστήριξη για νέα πρωτόκολλα, συμβατότητα με σύγχρονο υλικό και διορθώσεις σφαλμάτων που κατανέμονται σε ολόκληρη τη στοίβα.
Προτεινόμενα πρόσθετα: arpwatch, ffmpeg και άλλα
Μεταξύ των πρόσθετων χαρακτηριστικών που περιλαμβάνονται στο IPFire, ξεχωρίζουν τα εξής: arpwatch ως νέο πρόσθετοΑυτό το εργαλείο παρακολουθεί τις διευθύνσεις MAC στο δίκτυο και μπορεί να σας ειδοποιήσει για ύποπτες αλλαγές (για παράδειγμα, όταν μια διεύθυνση IP σχετίζεται με μια διαφορετική διεύθυνση MAC). Η συμπεριλαμβανόμενη έκδοση διορθώνει ένα πρόβλημα με τον φάκελο του αποστολέα στα email, το οποίο προκαλούσε την απόρριψη μηνυμάτων από ορισμένους διακομιστές αλληλογραφίας. Τώρα, αποστέλλεται η σωστή διεύθυνση αποστολέα και οι διευθύνσεις MAC εμφανίζονται πάντα με μηδενική συμπλήρωση, βελτιώνοντας την αναγνωσιμότητα των αναφορών.
El paquete Το ffmpeg έχει ενημερωθεί στην έκδοση 8.0 στη σουίτα πρόσθετων. Έχει αναμεταγλωττιστεί και επανασυνδεθεί με το OpenSSL και τη βιβλιοθήκη LAME, επιτρέποντας την ανάκτηση λειτουργικότητας ροής από εξωτερικές πηγές χρησιμοποιώντας κωδικοποίηση HTTPS και MP3. Αυτό διευκολύνει τη χρήση του IPFire ως σημείου ενσωμάτωσης για λύσεις πολυμέσων που χρειάζονται αναπαραγωγή ή προώθηση ασφαλούς περιεχομένου.
Άλλα αξεσουάρ που αναβαθμίζονται περιλαμβάνουν dnsdist 2.0.1, fetchmail 6.5.7, hostapd με πρόσφατες αναθεωρήσεις (f747ae0), libmpdclient 2.23, mpd 0.24.5, mympd 22.1.1, nano 8.7, openvmtools 13.0.5, Samba 4.23.2, shairport-sync 4.3.7, Tor 0.4.8.19, tshark 4.6.1 και zabbix_agentd 7.0.21 LTSΑυτές οι εκδόσεις διορθώνουν σφάλματα, προσθέτουν υποστήριξη για νέες δυνατότητες και προσαρμόζουν τη συμβατότητα με τις σύγχρονες εκδόσεις των βασικών βιβλιοθηκών.
Με όλες αυτές τις αλλαγές, η ενημέρωση 200 του IPFire 2.29 Core ενσωματώνεται ως ώριμη, ασφαλής πλατφόρμα τείχους προστασίας έτοιμη για υλικό και πρότυπα επόμενης γενιάςΑπό το WiFi 7 έως τις πιο πρόσφατες εκδόσεις πυρήνα και τα κρυπτογραφικά στοιχεία, το IPFire είναι συμβατό με ένα ευρύ φάσμα τεχνολογιών. Όσοι βασίζονται ήδη στο IPFire για την προστασία οικιακών ή επαγγελματικών δικτύων θα διαπιστώσουν σε αυτήν την έκδοση ένα σημαντικό άλμα στην απόδοση, την ορατότητα του δικτύου και τις δυνατότητες φιλτραρίσματος, υποστηριζόμενη από μια ενεργή κοινότητα και έναν κύκλο ανάπτυξης που συνεχίζει να ενσωματώνει συνεχείς βελτιώσεις στην ασφάλεια και την υποστήριξη.
