„IPFire 2.29“ pagrindinis atnaujinimas 199 Jis ateina kupinas didelių pokyčių Šie atnaujinimai paveikia praktiškai kiekvieną sistemos lygmenį: nuo naujos kartos belaidžio ryšio palaikymo iki sustiprinto pagrindinio saugumo, įskaitant VPN, tarpinio serverio, žiniatinklio sąsajos patobulinimus ir daugybę atnaujintų paketų. Ši versija, iš pradžių išleista kaip bandomoji versija, skirta būtent reiklioms aplinkoms, tiek įmonėms, tiek pažengusiems namų vartotojams.
Šiame vadove mes analizuosime visos techninės ir funkcinės naujovės Šis atnaujinimas apima: „WiFi 7“ ir „WiFi 6“ palaikymą, integruotą LLDP/CDP, naują branduolį, įsilaužimų prevencijos sistemos pakeitimus, „OpenVPN“ patobulinimus, tarpinio serverio patobulinimus, nedidelius sąsajos pakeitimus, atnaujintus priedus ir reikšmingas kūrimo pastangas. Jei naudojate „IPFire“ gamybinėje aplinkoje, turėtumėte suprasti, kas pasikeitė ir kuo tai gali būti jums naudinga.
„IPFire 2.29 Core Update 199“ žengia žingsnį į priekį belaidžių tinklų srityje: palaiko „WiFi 7“ ir „WiFi 6“.
Viena didžiausių šios versijos žvaigždžių yra Tiesioginis „IPFire“ suderinamumas su „WiFi 7“ ir „WiFi 6“ prieigos taškaisIki šiol dalis aparatinės įrangos jau veikė, tačiau šių standartų išplėstinės galimybės nebuvo iki galo išnaudojamos. Išleidus „Core Update 199“, sistema dabar gali visapusiškai išnaudoti šias išplėstines funkcijas, kad užtikrintų didesnį greitį ir mažesnį delsos laiką.
Dabar galima tiesiog nurodyti, pageidaujamas „WiFi“ režimas iš sąsajos...ir leiskite „IPFire“ tvarkyti likusią konfigūracijos dalį. Prie esamo 802.11ac/agn pridedami 802.11be („WiFi 7“) ir 802.11ax („WiFi 6“), o palaikomas iki 320 MHz kanalo plotis. Tai reiškia išties įspūdingą pralaidumą: daugiau nei 5,7 Gbps su dviem erdviniais srautais arba apie 11,5 Gbps su keturiais srautais, visame eteryje.
Kitas svarbus pokytis yra tas „IPFire“ automatiškai aptinka „WiFi“ įrangos galimybes ir aktyvuoja palaikomas funkcijas nereikalaujant žaisti su paslaptingais nustatymais. Anksčiau „HT galimybės“ ir „VHT galimybės“ buvo konfigūruojamos rankiniu būdu, todėl buvo rizikuojama padaryti klaidų ir sugaišti laiko. Dabar sistema pasirūpina, kad viskas, ką palaiko belaidė plokštė, būtų įjungta saugiai, todėl tinklai tampa stabilesni ir greitesni.
Kalbant apie belaidžio ryšio saugumą, pristatoma parinktis sustiprinti tinklus, kurie vis dar naudoja WPA2 arba WPA1Kai yra klientų, kurie negali naudoti WPA3, „IPFire“ leis naudoti SHA256 autentifikavimo metu, sustiprindamas rankos paspaudimą nepriversdamas atsisakyti šių senesnių protokolų, o tai vis dar būtina daugelyje mišrių įrenginių parkų.
Šis atnaujinimas yra standartinis. Įjunkite SSID apsaugą per daugiafunkcį įrenginį (Valdymo kadrų apsauga, 802.11w), jei įmanoma. Tokiais atvejais sistema automatiškai įjungia švyturių apsaugą ir operacinio kanalo patvirtinimą, užkirsdama kelią atakoms, pagrįstoms netikrais valdymo kadrais, ir pagerindama tinklo atsparumą kenkėjiškiems trukdžiams.
Siekiant optimizuoti spektro naudojimą, IPFire įdiegia mechanizmą, kuris pagal numatytuosius nustatymus konvertuoja daugiaadresį srautą į vienadresį srautą. Tai ypač naudinga, kai dauguma klientų yra modernūs ir greiti. Tai atlaisvina eterio laiką ir sumažina susidūrimų skaičių, o tai ypač naudinga tankiai apgyvendintuose tinkluose, kurie naudoja daug audiovizualinių paslaugų ar transliavimo srauto.
Jei aparatinė įranga leidžia, tai daroma foninio radaro aptikimasTai būtina norint tinkamai veikti su DFS kanalais ir laikytis dažnių juostų, bendrai naudojamų su radarų tarnybomis, reglamentų. Visa tai sklandžiai integruota į sąsają, kuri iš esmės lieka nepakitusi, nes tikrasis darbas vyksta po gaubtu.
„Lightning Wire Labs“ produktai, sukurti specialiai „IPFire“, Šios išplėstinės „Wi-Fi“ funkcijos bus aktyvuotos automatiškai.Tai reiškia, kad šių prietaisų naudotojai nuo pat pirmos akimirkos galės maksimaliai išnaudoti naują belaidę bateriją.
Tinklo aptikimas naudojant LLDP ir „Cisco Discovery Protocol“
Sudėtingose aplinkose, tiksliai žinant Prie ko jungiasi kiekviena užkardos sąsaja? Tai labai svarbu diagnostikai ir dokumentavimui. Nuo pagrindinio atnaujinimo 199 IPFire įdiegė vietinę LLDP (Link Layer Discovery Protocol) ir CDPv2 (Cisco Discovery Protocol) palaikymą – du protokolus, plačiai naudojamus valdomuose komutatoriuose ir profesionalioje tinklo įrangoje.
Dėl šios integracijos užkarda gali automatiškai identifikuoja prie kiekvieno fizinio prievado prijungtus įrenginius ir nustatyti, prie kurio komutatoriaus prievado jungiasi kiekviena sąsaja. Tai labai supaprastina darbą su įranga, VLAN, magistraliniais tinklais ir agregatais pripildytomis lentynomis ir sklandžiai integruojasi su stebėjimo ir žemėlapių sudarymo įrankiais, tokiais kaip „Observium“.
Funkcijos patogiai valdomos iš žiniatinklio sąsajos, meniu. Paslaugos → LLDPkur jį galima įjungti, išjungti arba koreguoti parametrus pagal aplinkos poreikius. Tokiu būdu „IPFire“ tampa labiau matomu ir visiškai integruotu tinklo topologijos žaidėju.
Atnaujinti branduolio ir našumo patobulinimai „IPFire 2.29 Core Update 199“ versijoje
Kitas svarbus šio pagrindinio atnaujinimo komponentas yra „IPFire“ branduolio atnaujinimas į „Linux“ šaką 6.12.58Šis versijos atnaujinimas atneša daugybę saugumo ir stabilumo pataisymų, taip pat našumo patobulinimų, kurie ypač pastebimi naudojant šiuolaikinę aparatinę įrangą ir didelius darbo krūvius.
Kai kurie dalykai buvo peržiūrėti konfigūracijos nustatymai, susiję su planavimo derinimu ir lygiagretumu (išankstinis derinimas). Išjungus arba tiksliai suderinus tam tikrus derinimo parametrus, kurie nereikalingi gamybinėje aplinkoje, pastebimai padidėja daugelio sistemų našumas, sumažėja delsa ir pagerėja užkardos atsako laikas esant apkrovai.
Įsilaužimų prevencijos sistemos (IPS) stiprinimas
„IPFire“ IPS širdis, „Suricata“ atnaujinta į 8.0.2 versijąŠis pakeitimas ne tik patobulina srauto analizės variklį viduje, bet ir atveria duris naujoms taisyklėms bei aptikimo galimybėms, todėl sistema yra nuolat atnaujinama ir apsaugota nuo dabartinių grėsmių.
Taip pat gauta IPS ataskaitų teikimo funkcija Reikšmingas pakeitimas dėl problemų, susijusių su SQLite duomenų baze naudojamas viduje. Kai ši sistema buvo užimta, kai kurie įspėjimai galėjo būti praleisti. Ši problema buvo išspręsta naudojant „suricata-reporter“ paketo 0.5 versiją, kuri užtikrina, kad įspėjimai būtų patikimai registruojami ir pateikiami ataskaitose.
Be to, IPS ataskaitose dabar bus fiksuotas pristatymo grafikas 1:00 val.Šis nedidelis pakeitimas atliktas atsižvelgiant į kelių administratorių prašymą, kuriems reikėjo, kad ataskaitos būtų parengtos jau ryte, taip palengvinant kasdienę saugumo būsenos peržiūrą prieš darbo dienos pradžią.
„OpenVPN“ patobulinimai tarptinklinio ryšio klientams „IPFire 2.29 Core Update 199“ versijoje
„OpenVPN Roadwarrior“ modulis taip pat gauna nedidelį, bet paketą reikšmingi nuotolinės prieigos aplinkų optimizavimaiPirma, jei serveris vis dar naudoja pasenusius šifrus, sąsaja juos paryškins, kad atkreiptų administratoriaus dėmesį ir paskatintų jį planuoti migraciją į patikimesnius algoritmus.
Galimybė perduoti kelis DNS ir WINS serverius klientamsTai labai naudinga įmonių tinkluose su keliais domenais, vidiniais sprendikliais arba mišriomis aplinkomis. Tai labai supaprastina konfigūraciją, nereikalaujant įsilaužimų ar papildomų scenarijų kliento pusėje.
„OpenVPN“ serveris dabar veikia. visada kelių namų režimeTai geriau atitinka „IPFire“ realybę, kuri paprastai diegiama su keliomis tinklo sąsajomis. Naudojant šį nustatymą, serveris nuolat atsako naudodamas tą patį IP adresą, prie kurio jungiasi klientas, nepriklausomai nuo to, ar ryšys kyla iš vidinio, ar iš išorinio tinklo, taip užkertant kelią netikėtam elgesiui kelių maršrutų scenarijuose.
Taip pat ištaisyta klaida, kuri neleido teisingai įkelti pirmojo pasirinktinio maršruto Dėl šios spragos tam tikri tinklai gali būti nepasiekiami per tunelį, net jei likusi konfigūracija buvo teisingai apibrėžta. Įdiegus pataisą, pasirinktiniai maršrutai dabar platinami kaip tikėtasi.
Kalbant apie autentifikavimą, komponentas, atsakingas už vartotojų patvirtinimą Jis geriau tvarko OTP srautus.Kai klientas „susimesta“ dviejų etapų autentifikavimo proceso metu, serveris dės papildomas pastangas, kad padėtų jam teisingai prisijungti, taip sumažindamas incidentų dėl galutinių vartotojų nesusipratimų skaičių.
Galiausiai jis pašalinamas iš kliento konfigūracijos failas „auth-nocache“ direktyvanes šiame kontekste jis buvo neveiksmingas. Jį pašalinus failas supaprastinamas neigiamai nepaveikiant tikrojo diegimo saugumo.
Tarpinis serveris: „IPFire 2.29 Core Update 199“ saugumo ir stabilumo mažinimo priemonės
„IPFire“ tarpinis serveris taip pat gauna naudos iš pakeitimų, skirtų sumažinti saugumo riziką ir pagerinti lenktynių situacijasPirma, taikomas specialus apsaugos nuo pažeidžiamumo, identifikuoto kaip CVE-2025-62168, sprendimas, sustiprinant konfigūraciją, kad būtų išvengta galimų pažeidimų išnaudojimo.
Kita vertus, tai išspręsta lenktynių sąlyga, dėl kurios URL filtro procesas gali būti priverstinai nutrauktas kompiliuojant jų duomenų bazes. Tam tikromis aplinkybėmis tai sukeldavo retkarčiais gedimus arba filtravimo praradimą, kol paslauga nebuvo paleista iš naujo. Įdiegus integruotą pataisą, sąrašų kompiliavimas turėtų vykti be pertraukų.
Maži, bet reikšmingi žiniatinklio sąsajos patobulinimai
Žiniatinklio administravimo sąsaja patyrė keletą patobulinimų, kurie, nors ir nėra įspūdingi, Jie akivaizdžiai pagerina kasdienį naudojimą.Užkardos modulis ištaiso klaidą, kuri neleido kurti naujų vietų grupių – tai labai naudinga funkcija tvarkant taisykles pagal šalis ar regionus.
Skyriuje, skirtame aparatinės įrangos pažeidžiamumams, Kai sistema nepalaiko SMT, dabar rodomas aiškesnis pranešimas. (Vienalaikis daugiasriegiškumas). Užuot painius pranešimus rodęs, administratorius geriau supranta procesoriaus situaciją ir kaip ji veikia tam tikrus mažinimo veiksmus.
Pašto modulis koreguoja juose esančių kredencialų tvarkymą subtilūs specialūs simboliaiTai apsaugo juos nuo sugadinimo ar „sugadinimo“ išsaugojimo metu. Tai sumažina problemas konfigūruojant pranešimus ir kitas paslaugas, kurios priklauso nuo SMTP autentifikavimo.
Bendrieji pakeitimai ir sistemos atnaujinimų paketas
Be konkrečių funkcijų, šis atnaujinimas apima ir esminiai sistemos pakeitimai ir didelė partija atnaujintų paketųPirma, „D-Bus“ demonas dabar nustatytas veikti pagal numatytuosius nustatymus „IPFire“ aplinkoje, taip atveriant kelią būsimoms funkcijoms, kurios priklausys nuo šios vidinės pranešimų infrastruktūros.
„initramfs“ konstrukcijos sistema taip pat vystosi: „dracut“ pakeičiamas į „dracut-ng“Kadangi „Red Hat“ atsisakė pradinio projekto, šis pakeitimas užtikrina aktyvią priežiūrą ir tvirtesnį pagrindą paleidimo ir atkūrimo procesams.
Tarp naujų naudingumo funkcijų, pridėta dma – įrankis, skirtas vietinėms pašto dėžutėms generuoti ir valdyti el. paštą lengvai, o tai ypač naudinga sistemose, kurioms nereikia sudėtingo MTA, bet reikia tam tikrų vidinių pristatymo funkcijų.
Šifravimo paketas taip pat pakoreguotas, kad IPFire atitiktų dabartines rekomendacijas: SSH šifravimo rinkinys sinchronizuojasi su siųstuviniu srautu ir teikia pirmenybę AES-GCM, o ne AES-CTR, pagal numatytuosius nustatymus pirmenybę teikdamas patikimesniems autentifikavimo režimams.
Taip pat taisoma lenktynių sąlyga užkardos taisyklių vykdymo užtikrinimeAnkstesnėje sistemoje jau galiojęs taisyklių rinkinys galėjo išnykti, jei tuo pačiu metu buvo įterpta kita taisyklė. Naudojant šią naują sistemą, taisyklės išlieka nuoseklios net ir dažnai keičiant politiką.
Kiti pakeitimai
Kalbant apie pagrindinių paketų katalogą, „Core Update 199“ atnaujina ilgą pagrindinių komponentų sąrašą. Jie, be daugelio kitų, apima: „coreutils 9.8“, „c-ares 1.34.5“ (pataisyta nuo CVE-2025-31498), „cURL 8.17.0“ ir „BIND 9.20.16“, pagrindiniai sistemos įrankių ir vardų atpažinimo ramsčiai.
Taip pat atnaujinamos pagrindinės bibliotekos ir įrankiai, pvz. „boost“ 1.89.0, „btrfs-progs“ 6.17.1, „elfutils“ 0.194, „expat“ 2.7.3 (su CVE-2025-59375 ir CVE-2024-8176 pataisymais), „fmt“ 12.1.0, „FUSE“ 3.17.4 ir „glib“ 2.86.0, sustiprinant suderinamumą ir saugumą.
Atnaujinimai yra įtraukti „harfbuzz 12.1.0“, „hwdata 0.400“, „iana-etc 20251030“, „iproute2 6.17.0“, „kbd 2.9.0“, „less 685“, „libarchive 3.8.2“, „libcap 2.77“, „libgpg-error 1.56“, „libxml2 2.15.1“ ir „LVM2 2.03.36“.visi jie yra svarbūs sistemos valdymo, konsolės, saugyklos ir duomenų analizavimo komponentai.
Taip pat atnaujinamas kūrimo ir kūrimo įrankių rinkinys, kuriame yra nasm 3.00, ninja 1.13.1, protobuf 33.0 ir Rust 1.85.0Tuo tarpu įterptoji duomenų bazė ir įvairios tinklo paslaugos yra patobulintos dėka „SQLite 3.51.0“, „Suricata 8.0.2“, „suricata-reporter 0.5“, „strongSwan 6.0.3“, „unbound 1.24.1“ ir kitų.
Atnaujinimo paketą užbaigia įvairios sistemos ir administravimo priemonės, pvz., „sysvinit 3.14“, „udev 258“, „util-linux 2.41.2“, „vim 9.1.1854“, „whois 5.6.5“, „usbutils 019“ ir „xfsprogs 6.17.0“Be daugybės „kodo valymo“ procedūrų, kurios atliekamos visame kode, o tai pagerina priežiūrą ir sumažina techninę skolą.
Priedai: naujos funkcijos ir atnaujintos versijos
Taip pat atnaujinama IPFire įskiepių ekosistema, įtraukiant Pataisymai ir naujos funkcijos keliuose prieduoseViena iš dėmesio sulaukiančių priemonių yra „arpwatch“, skirta stebėti MAC adresų pokyčius tinkle.
Klaida, neleidusi „arpwatch“ Pranešimų el. laiškuose nurodykite teisingą siuntėjo vardąDėl to kai kurie serveriai atmetė šiuos pranešimus. Be to, MAC adresai dabar visada rodomi be tarpų, todėl juos lengviau skaityti ir išvengti painiavos.
„ffmpeg“ priedas atnaujintas į 8.0 versijoje yra nauja sąsaja su OpenSSL ir „lame“ biblioteka.Dėl to „IPFire“ vėl gali be problemų apdoroti srautus iš išorinių šaltinių per HTTPS ir mp3 kodavimą, atkurdama srautinio perdavimo galimybes, kurių kai kurie administratoriai praleido.
Kartu su šiais pakeitimais atnaujinama daugybė papildomų priedų paketų, tokių kaip „ClamAV 1.5.1“, „dnsdist 2.0.1“, „fetchmail 6.5.7“, „hostapd f747ae0“, „libmpdclient 2.23“, „mpd 0.24.5“ ir „mympd 22.1.1“, tobulinant antivirusines funkcijas, pažangias DNS, el. pašto, multimedijos paslaugas ir prieigos taškų valdymą.
Šios versijos mastas aiškiai rodo, kad „IPFire“ ir toliau stato ant plėsti tinklo galimybes, stiprinti saugumą ir nuolat tobulinti valdymo patirtįNuo naujos kartos „Wi-Fi“ ir patobulinto matomumo naudojant LLDP/CDP iki modernizuoto branduolio, patikimesnio IPS, „OpenVPN“ patobulinimų, sustiprinto tarpinio serverio, nedidelių sąsajos pataisymų, atnaujintos paketų bibliotekos ir išplėstų priedų – visa tai susijungia, kad būtų galima pasiūlyti greitesnę, saugesnę sistemą, paruoštą sudėtingiems scenarijams, visada palaikančią bendruomenės ir komandos, kuriai reikia palaikymo, kad neatsiliktų nuo šio evoliucijos tempo.