Долазак de ИПФире 2.29 – ажурирање језгра 200 Ово означава прекретницу у еволуцији ове дистрибуције заштитних зидова и рутера отвореног кода. То је велико ажурирање које уводи модерно језгро, јача безбедност, побољшава перформансе мреже и освежава велики број пакета и додатака. Штавише, додаје најсавременије технологије као што су WiFi 7 и напредна подршка за откривање мреже.
Ово основно ажурирање није ограничено на „мање закрпе“; то је верзија пуна структурних променаНови систем листе блокираних домена (IPFire DBL), значајна побољшања Suricata-е и система за извештавање о IPS-у, велике промене у OpenVPN-у, робуснији прокси против недавних рањивости, нативна подршка за LLDP/CDP и дуга листа ажурираних библиотека и алата. Све то уз задржавање фокуса IPFire-а на стабилност, безбедност и лакоћу администрирања путем веб интерфејса.
IPFire 2.29 Core Update 200: Нове измене IPFire језгра и платформе
Један од темеља овог издања је ажурирање IPFire језгра. Главна системска грана је престигнут Линукс 6.18.x LTSОво доноси талас побољшања у безбедности, перформансама и компатибилности хардвера. Линија 6.18 LTS укључује акумулиране исправке стабилности, тренутне безбедносне закрпе и оптимизације које смањују латенцију и побољшавају перформансе филтрирања пакета — што је посебно релевантно у сценаријима са великим саобраћајем или онима са много правила заштитног зида и NAT-а.
Ново језгро доноси општа побољшања у перформансама мрежеНуди већи пропусни опсег, мању латенцију и напредније могућности филтрирања пакета. Такође интегрише најновија ублажавања скорашњих хардверских рањивости, јачајући заштиту од напада који искоришћавају недостатке у модерним процесорима. Ово је кључно у окружењима где се IPFire користи као периметрални заштитни зид или у критичној инфраструктури са високим безбедносним захтевима.
У оквиру ове транзиције постоји и једна важна одлука: она има Подршка за фајл систем ReiserFS је уклоњенаСамо Линукс језгро је означило ову технологију као застарелу, а пројекат IPFire је следио тај пример. Ако ваша тренутна IPFire инсталација користи ReiserFS, нећете моћи директно да примените Core Update 200. Уместо тога, мораћете да извршите чисту поновну инсталацију користећи подржани фајл систем (као што су ext4, XFS или други које подржавају новије IPFire слике). Веб интерфејс већ неко време упозорава кориснике на ово, тако да ово ограничење није сасвим неочекивано.
IPFire DBL: Нова листа блокираних домена у IPFire 2.29 Core Update 200
Пошто је чувена Шала листа постала недоступна, IPFire-ов веб прокси је остао без стабилан извор домена за филтрирање злонамерни садржај, друштвене мреже или веб странице за одрасле. С обзиром на недостатак заиста свеобухватних и одржаваних алтернатива, IPFire тим је одлучио да креира и одржава сопствену листу блокираних домена: IPFire DBL.
IPFire DBL се налази у рана бета фазаМеђутим, већ се може функционално користити у две кључне тачке система:
- Филтер URL-ова проксијаАдминистратор може да изабере IPFire DBL као извор домена које ће блокирати. На овај начин, сваки приступ који пролази кроз HTTP/HTTPS прокси биће проверен у односу на листу, спречавајући приступ категоријама потенцијално опасних или нежељених сајтова.
- Интеграција са Suricata (IPS)Доласком IPFire DBL-а, пројекат такође постаје добављач правила за Suricata. Комбиновањем базе података домена са дубинском инспекцијом пакета (DNS, TLS, HTTP, QUIC), IPS може темељније блокирати везе ка забрањеним доменима, чак и када заобилазе традиционални прокси.
Иако база података и даље расте, намера је да се корисницима IPFire-а понуди робусна, ажурирана и посебно дизајнирана листа блокирања да се интегрише са екосистемом заштитног зида. Тим подстиче заједницу да га тестира, пријави проблеме и да предлоге за његово усавршавање у будућим верзијама, где се очекују значајна побољшања и нове могућности.
IPFire 2.29 Core Update 200 уводи побољшања система за спречавање упада (IPS)
ИПС базиран на Сурицати добија низ значајних промена усмерених на побољшање перформанси, поузданости и корисности својих извештаја. Претходно ажурирање је увело могућност да сачувајте претходно компајлиране потписе у кешу да би се убрзало учитавање Сурикате. Међутим, тај кеш би могао неконтролисано да расте и заузме превише простора на диску.
Да би се исправило ово понашање, Core Update 200 укључује Закрпа која омогућава Сурицати да аутоматски уклања неискоришћене потписеОво одржава предност брзог времена покретања без угрожавања дугорочног складиштења, што је кључно за уређаје са малим дисковима или наменске уређаје.
Компонента за извештавање (suricata-reporter) је такође проширена: сада, за упозорења везана за ДНС, ХТТП, ТЛС или КУИЦДодају се додатне информације, као што су име хоста и други релевантни детаљи. Ове информације се појављују и у е-порукама са упозорењима и у PDF извештајима, помажући администраторима да прецизније истраже потенцијалне безбедносне инциденте или кршења корпоративних политика.
Поред ових промена, недавно ажурирање близу Core Update 200 је увело Побољшања у управљању IPS-ом у случају квароваНа системима са ограниченом меморијом, примећено је да ако се Suricata сруши или је систем прекине да би ослободио RAM меморију, заштитни зид може бити остављен отворенији него што је потребно, откривајући интерне сервисе. Иако нису примећени стварни напади који искоришћавају ово понашање, сматрано је значајним безбедносним ризиком.
Да би се ово ублажило, сада постоји будни процес који надгледа ИПС и поново га покреће ако открије неочекивани пад. Саобраћај означен као „на белој листи“ више се не шаље IPS-у ради искључења: он се директно прескаче у iptables ланцу, оптимизујући перформансе и смањујући сложеност. Такође је додата могућност филтрирања IPsec саобраћаја; раније је овај саобраћај био искључен из IPS анализе осим у неколико специфичних случајева, а сада се може прегледати кад год се усмерава кроз конфигурисане интерфејсе.
Нова функција је укључена у IPS веб интерфејс нови графикон учинка Ово приказује обрађени саобраћај подељен у три категорије: скенирани саобраћај (долазни и одлазни), саобраћај са беле листе и заобилазни саобраћај. Ово пружа јасан увид у стварну употребу IPS-а и омогућава информисаније прилагођавање правила и политика.
OpenVPN: Промене у конфигурацији и аутентификацији
Модул OpenVPN у IPFire-у добија значајан скуп измена како би конфигурација клијента и сервера била флексибилнија и усклађена са тренутним најбољим праксама. Почевши од ове верзије, Датотеке конфигурације клијента више не садрже фиксну MTU вредностУместо тога, сервер ће „прослеђивати“ одговарајући MTU сваком клијенту, омогућавајући администратору да промени ову вредност без потребе да поново генерише све корисничке конфигурације. Вреди напоменути да неки веома стари клијенти можда не разумеју у потпуности ово понашање.
Ако се користи двостепена аутентификација са OTP-ом, Једнократни токен се сада шаље са сервера. када клијент има омогућен OTP. Ово централизује логику на страни сервера, избегавајући недоследности и поједностављујући управљање привременим акредитивима.
Штавише, профили купаца више не укључују Сертификациони ауторитет (CA) уграђен изван PKCS#12 контејнераРаније је ово могло да изазове проблеме приликом увоза веза помоћу алата као што је NetworkManager из командне линије, због дуплих сертификата. Пошто је CA сада укључен у датотеку PKCS#12, ова редундантност је елиминисана како би се поједноставио процес и спречиле грешке.
Додата су додата додатна подешавања у конфигурацију сервера „roadwarrior“. Када OpenVPN сервер настави да користи шифре које се сматрају наслеђенимIPFire сада истиче ово како би упозорио администратора да би препоручио миграцију на модерније пакете. Такође омогућава постављање више DNS и WINS сервера на клијенте, што је веома корисно у сложеним мрежама где коегзистира неколико интерних домена или специфичних сервера имена.
OpenVPN сервер сада ради увек у режиму за више кућаОво има смисла у заштитном зиду са више интерфејса. Осигурава да сервер одговара клијентима користећи исту IP адресу на коју су се првобитно повезали, чак и ако машина има више одлазних путања ка интернету или интерним мрежама. Грешка која је спречавала да се прва прилагођена рута дефинисана за клијенте правилно пошаље, а ток OTP аутентификације је побољшан како би се клијенту предложило да заврши други фактор ако се заглави.
Коначно, политика је уклоњена из конфигурација клијента auth-nocache, од свог Стварни ефекат је био практично никакав У пракси, ово је створило лажни осећај сигурности. Са овим променама, OpenVPN у IPFire-у је сада више у складу са тренутним најбољим праксама и олакшава живот администраторима.
WiFi 7 и WiFi 6: генерацијски скок у бежичним мрежама
Један од најупечатљивијих аспеката овог ажурирања је то што IPFire коначно искористите све могућности WiFi 7 (802.11be) и WiFi 6 (802.11ax) због своје улоге бежичне приступне тачке. Иако је хардвер већ могао да функционише раније, нове карактеристике ових стандарда су сада откривене и правилно се управљају.
У подешавањима бежичне мреже можете изабрати Жељени WiFi режим и пустите IPFire да се побрине за остало. Систем додаје пуну подршку за 802.11be и 802.11ax, заједно са већ подржаним 802.11ac/agn режимима. Ово укључује употребу канала до 320 MHz, омогућавајући пропусни опсег од преко 5,7 Gbps са два просторна тока или до приближно 11,5 Gbps са четири тока, све бежично. Ове бројке очигледно зависе од хардвера и радио окружења, али подршка постоји и спремна је да у потпуности искористи предности најновије генерације опреме.
IPFire сада аутоматски детектује напредне могућности WiFi хардвераОно што је раније ручно конфигурисано као „HT могућности“ и „VHT могућности“ – мукотрпан и грешке подложан процес – сада се управља интерно. Систем аутоматски омогућава све функције које уређај подржава (MU-MIMO, широки канали итд.), што резултира стабилнијим, бржим и лакшим за управљање бежичним мрежама.
У окружењима где се WPA2 или чак WPA1 још увек користе, IPFire сада дозвољава употребу SHA256 у процесу аутентификације Да би се ојачало руковање за клијенте који не могу да раде са WPA3. Поред тога, SSID заштита је подразумевано омогућена: ако се користе заштићени оквири за управљање (802.11w), систем аутоматски омогућава заштиту сигнала и валидацију оперативног канала, спречавајући одређене нападе који манипулишу мрежном сигнализацијом.
Да би се побољшала ефикасност ваздуха, мултикаст пакети се конвертују у уникаст Ово је подразумевано подешавање када се мрежа састоји првенствено од модерних, брзих клијената. Ова техника смањује губитак времена емитовања на традиционални мултикаст саобраћај и побољшава целокупно искуство, посебно у густим мрежама. Ако хардвер дозвољава, детекција радара (потребна за DFS у одређеним опсезима) се врши у позадини, спречавајући било какве приметне прекиде у Wi-Fi услузи.
Иако се облик веб интерфејса није радикално променио, већина магије се дешава иза кулиса, оптимизујући параметре и максимизирајући перформансе хардвера. Уређаји компаније Lightning Wire Labs који интегришу IPFire Ове могућности се активирају аутоматски.тако да ће корисници тих уређаја видети побољшања без потребе да много додирују подешавања.
Подршка за LLDP и Cisco Discovery Protocol
Основно ажурирање 200 изворно укључује подршку за Протокол за откривање слоја везе (LLDP) и Cisco протокол за откривање верзије 2 (CDPv2)Ови протоколи омогућавају IPFire-у да „оглашава“ и открива уређаје на нивоу слоја 2 на директно повезаним сегментима, што је веома корисно у сложеним мрежним инфраструктурама.
Захваљујући LLDP/CDP-у, заштитни зид може да идентификује На које портове прекидача је повезанНасупрот томе, прекидачи и алати за праћење могу јасно видети локацију IPFire-а на мрежној мапи. Ово се беспрекорно интегрише са платформама као што је Observium и другим системима за мапирање и праћење мреже, поједностављујући управљање великим окружењима са бројним VLAN мрежама, магистралним везама и дистрибуираном опремом.
Функционалност се активира и конфигурише из веб интерфејс, у одељку Мрежа → LLDPгде можете да одлучите на којим интерфејсима је протокол омогућен, које информације се оглашавају и како се подаци интегришу са остатком мрежне конфигурације.
DNS, PPP и друге основне услуге у IPFire 2.29 Core Update 200
IPFire-ов Unbound-базирани DNS прокси је такође добио значајно ажурирање. Уместо да ради у једнонитном режиму, Unbound сада покреће једну нит по језгру процесораОво вам омогућава да искористите предности вишејезгарних процесора који су данас толико уобичајени и смањите време одзива DNS-а под оптерећењем, што је приметно у окружењима са много клијената или много истовремених захтева.
Код PPP приступних веза (као што су неке DSL, 4G или 5G линије), IPFire подешава слање LCP keep-alive пакета на Издајте их само када нема стварног саобраћаја на линијиОва мала промена незнатно смањује оптерећење везе, што је посебно цењено на мобилним везама са ограниченијим ресурсима или строгим ограничењима података.
Визуелни детаљ је исправљен у административном интерфејсу: DNS страница сада доследно приказује следећу легенду: представљених елемената, избегавајући забуну приликом тумачења статуса сервера, резолуција или конфигурисаних режима рада.
Веб прокси и најновија безбедност
HTTP/HTTPS прокси компонента је добила измене усмерене на безбедност. специфично ублажавање рањивости CVE-2025-62168 унутар конфигурације проксија, јачајући заштиту од образаца напада повезаних са тим CVE. На овај начин, корисници IPFire-овог транспарентног или аутентификованог проксија имају користи од додатних мера без потребе да ручно мењају конфигурационе датотеке.
А услов трке у процесу филтрирања URL-оваПод одређеним околностима, током компајлирања база података за филтрирање, процес би могао бити нагло прекинут, што би довело до привремених кварова или недоследности. Са исправком укљученом у Core Update 200, компајлирање листа се врши робусније, минимизирајући ризик да процес филтрирања постане неоперативан током ажурирања.
Искуство са веб интерфејсом и администрирањем
Веб интерфејс IPFire-а је претрпео неколико побољшања употребљивости и исправки грешака. Проблем у одељку [недостаје назив одељка]. заштитни зид који је спречавао креирање нових група локација, веома корисна функција за груписање земаља или региона и примену правила на основу геолокације.
У одељку о рањивостима хардвера, порука се приказује када систем не подржава SMT (симултано вишенитно обрађивање)разјашњавање за администратора зашто се одређена ублажавања или безбедносна стања појављују на овај или онај начин. Поред тога, исправљена је грешка у модулу е-поште која је доводила до акредитиви са одређеним специјалним знаковима Могу се „оштетити“ приликом складиштења, што може довести до грешака у аутентификацији са екстерним поштанским серверима.
Безбедносна ажурирања: OpenSSL, glibc и још много тога
Што се тиче критичних библиотека, OpenSSL је ажуриран на Верзија КСНУМКС и више рањивости је закрпљено, укључујући CVE-2025-11187, CVE-2025-15467, CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795 и CVE-2026-22796. Ова каскада CVE-а даје представу о радно оптерећење криптографског јачања који је укључен у ову верзију.
Стандардна библиотека glibc је такође закрпљена против неколико релевантних рањивости: ЦВЕ-2026-0861, ЦВЕ-2026-0915 и ЦВЕ-2025-15281Пошто је централна компонента целог система, њено ажурирање и исправљање је неопходно како би се смањила површина напада и осигурало да апликације имају користи од најновијих исправки.
Велика надоградња основних пакета и компоненти
Основно ажурирање 200 доноси мноштво ажурираних пакета. Међу најзначајнијима су: Апачи 2.4.66, басх 5.3п9, БИНД 9.20.18, кореутилс 9.9, цУРЛ 8.18.0, дхцпцд 10.3.0, елинкс 0.19.0, глиб 2.87.0, ГнуПГ 2.4.9, ГнуТЛС 3.8.11 и многе друге графичке и системске библиотеке као што су harfbuzz 12.3.0, hwdata 0.403, iana-etc 20251215, intel-microcode 20251111 или libarchive 3.8.5.
Такође су ажурирани либцап-нг 0.9, либгпг-еррор 1.58, либидн2 2.3.8, либјпег 3.1.3, либпцап 1.10.6, либплист 2.7.0, либпнг 1.6.53, либтасн1 4.21,0.0 4.5.1као и алати за управљање волуменом и RAID-ом као што су LVM2 2.03.38 и mdadm 4.5. Укључене су нове верзије memtest (8.00), meson (1.10.1), newt (0.52.25), ninja (1.13.2), oath-toolkit (2.6.13), OpenVPN (2.6.17), OpenSSL (3.6.1 у основном стеку), SQLite (3.51.100), tzdata (2025c), readline (8.3p3), strongSwan (6.0.4), suricata (8.0.3), suricata-reporter (0.6), Rust (1.92.0), Unbound (1.24.2), wireless-regdb (2025.10.07), vim (9.1.2098) и xz (5.8.2).
Што се тиче додатака, они су ажурирани алса 1.2.15.3, ClamAV 1.5.1, dnsdist 2.0.2, fetchmail 6.6.0, gdb 17.1, Git 2.52.0, fort-validator 1.6.7, freeradius 3.2.8, libtpms 0.10.2, opus 1.6.1, postfix 3.10.6, samba 4.23.4, strace 6.18, tmux 3.6a, Tor 0.4.8.21 и tshark 4.6.3Заједно, овај пакет ажурирања пружа безбедносна побољшања, подршку за нове протоколе, компатибилност са модерним хардвером и исправке грешака распоређене по целом стеку.
Истакнути додаци: arpwatch, ffmpeg и други
Међу додатним функцијама које укључује IPFire, истичу се следеће: arpwatch као нови додатакОвај алат прати MAC адресе на мрежи и може вас упозорити на сумњиве промене (на пример, када је IP адреса повезана са другом MAC адресом). Укључена верзија исправља проблем са омотницом пошиљаоца у имејловима, због чега су неки мејл сервери одбијали поруке. Сада се шаље исправна адреса пошиљаоца, а MAC адресе се увек приказују са нултим попуњавањем, што побољшава читљивост извештаја.
Ел пакуете ffmpeg је ажуриран на верзију 8.0 у пакету додатака. Рекомпилиран је и поново повезан са OpenSSL-ом и LAME библиотеком, омогућавајући опоравак функционалности стримовања из спољних извора коришћењем HTTPS и MP3 кодирања. Ово олакшава коришћење IPFire-а као тачке интеграције за мултимедијална решења којима је потребно да репродукују или прослеђују безбедан садржај.
Остала додатна опрема која се ажурира укључује dnsdist 2.0.1, fetchmail 6.5.7, hostapd са скорашњим ревизијама (f747ae0), libmpdclient 2.23, mpd 0.24.5, mympd 22.1.1, nano 8.7, openvmtools 13.0.5, Samba 4.23.2, shairport-sync 4.3.7, Tor 0.4.8.19, tshark 4.6.1 и zabbix_agentd 7.0.21 LTSОве верзије исправљају грешке, додају подршку за нове функције и прилагођавају компатибилност са модерним верзијама основних библиотека.
Са свим овим променама, IPFire 2.29 Core Update 200 је консолидован као зрела, безбедна платформа заштитног зида спремна за хардвер и стандарде следеће генерацијеОд WiFi 7 до најновијих верзија језгра и криптографских компоненти, IPFire је компатибилан са широким спектром технологија. Они који се већ ослањају на IPFire за заштиту кућних или пословних мрежа, у овој верзији ће пронаћи значајан скок у перформансама, видљивости мреже и могућностима филтрирања, уз подршку активне заједнице и развојног циклуса који наставља да укључује стална побољшања безбедности и подршке.
