De aankomst de IPFire 2.29 – Kernupdate 200 Dit markeert een keerpunt in de evolutie van deze open-source firewall- en routerdistributie. Het is een belangrijke update die een moderne kernel introduceert, de beveiliging versterkt, de netwerkprestaties verbetert en een groot aantal pakketten en plug-ins vernieuwt. Bovendien voegt het geavanceerde technologieën toe, zoals WiFi 7 en geavanceerde ondersteuning voor netwerkdetectie.
Deze kernupdate is niet beperkt tot "kleine patches"; het is een versie geladen met structurele wijzigingenEen nieuw domeinblokkeersysteem (IPFire DBL), aanzienlijke verbeteringen aan Suricata en het IPS-rapportagesysteem, grote wijzigingen in OpenVPN, een robuustere proxy tegen recente beveiligingslekken, native ondersteuning voor LLDP/CDP en een lange lijst met bijgewerkte bibliotheken en tools. Dit alles met behoud van IPFire's focus op stabiliteit, beveiliging en gebruiksgemak via de webinterface.
IPFire 2.29 Core Update 200: Nieuwe IPFire-kernel- en platformwijzigingen
Een van de hoekstenen van deze release is de IPFire-kernelupdate. De hoofdsysteembranch is ingehaald Linux 6.18.x LTSDit brengt een golf van verbeteringen met zich mee op het gebied van beveiliging, prestaties en hardwarecompatibiliteit. De 6.18 LTS-lijn bevat verzamelde stabiliteitsfixes, actuele beveiligingspatches en optimalisaties die de latentie verminderen en de prestaties van pakketfiltering verbeteren – met name relevant in scenario's met veel verkeer of scenario's met veel firewall- en NAT-regels.
De nieuwe kernel brengt algemene verbeteringen in netwerkprestatiesHet biedt een hogere doorvoersnelheid, lagere latentie en geavanceerdere mogelijkheden voor pakketfiltering. Het integreert ook de nieuwste beveiligingsmaatregelen tegen recente hardwarekwetsbaarheden, waardoor de bescherming tegen aanvallen die gebruikmaken van zwakke punten in moderne CPU's wordt versterkt. Dit is cruciaal in omgevingen waar IPFire wordt gebruikt als perimeterfirewall of in kritieke infrastructuren met hoge beveiligingsvereisten.
Binnen deze overgang is er ook een belangrijke beslissing: het heeft De ondersteuning voor het ReiserFS-bestandssysteem is verwijderd.De Linux-kernel zelf heeft deze technologie als verouderd bestempeld, en het IPFire-project heeft dit voorbeeld gevolgd. Als uw huidige IPFire-installatie ReiserFS gebruikt, kunt u Core Update 200 niet rechtstreeks toepassen. In plaats daarvan moet u een schone herinstallatie uitvoeren met een ondersteund bestandssysteem (zoals ext4, XFS of andere systemen die door recente IPFire-images worden ondersteund). De webinterface waarschuwt gebruikers hier al enige tijd voor, dus deze beperking is niet geheel onverwacht.
IPFire DBL: Nieuwe domeinblokkeerlijst in IPFire 2.29 Core Update 200
Sinds de bekende Shalla-lijst niet meer beschikbaar was, zat de webproxy van IPFire zonder een stabiele bron van domeinen voor filtering schadelijke inhoud, sociale media of websites voor volwassenen. Gezien het gebrek aan echt uitgebreide en goed onderhouden alternatieven, heeft het IPFire-team besloten om een ​​eigen domeinblokkeerlijst te maken en te onderhouden: IPFire DBL.
IPFire DBL bevindt zich in een vroege bètafaseHet kan echter al functioneel worden ingezet op twee belangrijke punten van het systeem:
- Proxy-URL-filterDe beheerder kan IPFire DBL selecteren als de bron van te blokkeren domeinen. Op deze manier wordt elke toegang die via de HTTP/HTTPS-proxy verloopt, gecontroleerd aan de hand van de lijst, waardoor toegang tot categorieën van potentieel gevaarlijke of ongewenste sites wordt voorkomen.
- Integratie met Suricata (IPS)Met de komst van IPFire DBL fungeert het project nu ook als regelprovider voor Suricata. Door de domeindatabase te combineren met diepgaande pakketinspectie (DNS, TLS, HTTP, QUIC) kan het IPS verbindingen met verboden domeinen grondiger blokkeren, zelfs wanneer deze de traditionele proxy omzeilen.
Hoewel de database nog steeds groeit, is het de bedoeling om IPFire-gebruikers een robuuste, actuele en speciaal ontworpen blokkeerlijst Het doel is om de firewall te integreren in het bestaande ecosysteem. Het team moedigt de community aan om de firewall te testen, problemen te melden en suggesties te doen voor verbeteringen in toekomstige versies, waarin aanzienlijke verbeteringen en nieuwe mogelijkheden worden verwacht.
IPFire 2.29 Core Update 200 introduceert verbeteringen aan het inbraakpreventiesysteem (IPS).
Het op Suricata gebaseerde IPS ondergaat een reeks belangrijke wijzigingen die gericht zijn op het verbeteren van de prestaties, betrouwbaarheid en bruikbaarheid van de rapporten. Een eerdere update introduceerde de mogelijkheid om sla de vooraf gecompileerde handtekeningen op in de cache. om het laden van Suricata te versnellen. Die cache zou echter ongecontroleerd kunnen groeien en te veel schijfruimte in beslag kunnen nemen.
Om dit gedrag te corrigeren, bevat Core Update 200 een Patch waarmee Suricata ongebruikte handtekeningen automatisch kan verwijderen.Dit behoudt het voordeel van snelle opstarttijden zonder afbreuk te doen aan de opslagcapaciteit op lange termijn, wat cruciaal is voor apparaten met kleine schijven of specifieke toepassingen.
De rapportagecomponent (suricata-reporter) is ook uitgebreid: nu voor waarschuwingen met betrekking tot DNS, HTTP, TLS of QUICAanvullende informatie, zoals de hostnaam en andere relevante details, wordt toegevoegd. Deze informatie verschijnt zowel in waarschuwingsmails als in PDF-rapporten, waardoor beheerders potentiële beveiligingsincidenten of schendingen van het bedrijfsbeleid nauwkeuriger kunnen onderzoeken.
Naast deze wijzigingen introduceerde een recente update, vlak voor Core Update 200, ook het volgende. Verbeteringen in het beheer van het IPS in geval van storingen.Op systemen met beperkt geheugen werd geconstateerd dat als Suricata crashte of door het systeem werd afgesloten om RAM vrij te maken, de firewall mogelijk verder open bleef staan ​​dan gewenst, waardoor interne services werden blootgesteld. Hoewel er geen daadwerkelijke aanvallen werden waargenomen die misbruik maakten van dit gedrag, werd het beschouwd als een aanzienlijk beveiligingsrisico.
Om dit te verhelpen, is er nu een een waakzaam proces dat toezicht houdt op de IPS en herstart het als het een onverwachte onderbreking detecteert. Verkeer dat is gemarkeerd als "whitelisted" wordt niet langer naar de IPS gestuurd voor uitsluiting: het wordt direct overgeslagen in de iptables-keten, wat de prestaties optimaliseert en de complexiteit vermindert. De mogelijkheid om IPsec-verkeer te filteren is ook toegevoegd; voorheen werd dit verkeer uitgesloten van IPS-analyse, behalve in enkele specifieke gevallen, en kan het nu worden geïnspecteerd wanneer het via de geconfigureerde interfaces wordt gerouteerd.
Er is een nieuwe functie toegevoegd aan de IPS-webinterface. nieuwe prestatiegrafiek Dit toont het verwerkte verkeer, onderverdeeld in drie categorieën: gescand verkeer (inkomend en uitgaand), verkeer op de whitelist en verkeer dat wordt omzeild. Dit geeft een duidelijk beeld van het daadwerkelijke IPS-gebruik en maakt het mogelijk om regels en beleid beter te onderbouwen.
OpenVPN: Wijzigingen in configuratie en authenticatie
De OpenVPN-module in IPFire is aanzienlijk verbeterd om de configuratie van client en server flexibeler te maken en beter af te stemmen op de huidige best practices. Vanaf deze versie is de Clientconfiguratiebestanden bevatten niet langer de vaste MTU-waarde.In plaats daarvan zal de server de juiste MTU naar elke client "pushen", waardoor de beheerder deze waarde kan wijzigen zonder alle gebruikersconfiguraties opnieuw te hoeven genereren. Het is belangrijk om te weten dat sommige zeer oude clients dit gedrag mogelijk niet volledig begrijpen.
Als er gebruik wordt gemaakt van tweestapsverificatie met OTP, dan Er wordt nu een eenmalig token vanaf de server verzonden. wanneer de client OTP (One-Time Password) heeft ingeschakeld. Dit centraliseert de logica aan de serverzijde, waardoor inconsistenties worden voorkomen en het beheer van tijdelijke inloggegevens wordt vereenvoudigd.
Bovendien bevatten klantprofielen niet langer de volgende informatie: Certificeringsinstantie (CA) ingebed buiten de PKCS#12-containerVoorheen kon dit problemen veroorzaken bij het importeren van verbindingen met tools zoals NetworkManager via de commandoregel, vanwege dubbele certificaten. Doordat de CA nu in het PKCS#12-bestand is opgenomen, is deze redundantie geëlimineerd om het proces te vereenvoudigen en fouten te voorkomen.
Er zijn meer instellingen toegevoegd aan de serverconfiguratie van "roadwarrior". Wanneer een OpenVPN-server gebruik blijft maken van... cijfers die als verouderd worden beschouwdIPFire markeert dit nu om de beheerder te waarschuwen dat migratie naar modernere suites aan te raden is. Het biedt ook de mogelijkheid om meerdere DNS- en WINS-servers naar clients te pushen, wat erg handig is in complexe netwerken waar meerdere interne domeinen of specifieke naamservers naast elkaar bestaan.
De OpenVPN-server werkt nu. altijd in multi-home-modusDit is logisch in een firewall met meerdere interfaces. Het zorgt ervoor dat de server clients beantwoordt met hetzelfde IP-adres waarmee ze oorspronkelijk verbinding maakten, zelfs als de machine meerdere uitgaande paden naar het internet of interne netwerken heeft. Een bug die ervoor zorgde dat de eerste aangepaste route die voor clients was gedefinieerd niet correct werd doorgegeven, is ook verholpen. Daarnaast is de OTP-authenticatieprocedure verbeterd, zodat de client wordt gevraagd de tweede factor te voltooien als deze vastloopt.
Het beleid is uiteindelijk verwijderd uit de clientconfiguraties. auth-nocachesinds zijn Het daadwerkelijke effect was praktisch nihil. In de praktijk gaf dit een vals gevoel van veiligheid. Met deze wijzigingen sluit OpenVPN in IPFire nu beter aan bij de huidige best practices en maakt het het leven voor beheerders gemakkelijker.
WiFi 7 en WiFi 6: een generatiesprong in draadloze netwerken
Een van de meest opvallende aspecten van deze update is dat IPFire Maak eindelijk optimaal gebruik van de mogelijkheden van WiFi 7 (802.11be) en WiFi 6 (802.11ax). vanwege zijn rol als draadloos toegangspunt. Hoewel de hardware voorheen al kon functioneren, worden de nieuwe mogelijkheden van deze standaarden nu benut en op de juiste manier beheerd.
In de draadloze instellingen kunt u kiezen voor Voorkeursmodus voor wifi En laat IPFire de rest afhandelen. Het systeem biedt volledige ondersteuning voor 802.11be en 802.11ax, naast de reeds ondersteunde 802.11ac/agn-modi. Dit omvat het gebruik van kanalen tot 320 MHz, waardoor bandbreedtes van meer dan 5,7 Gbps mogelijk zijn met twee ruimtelijke streams of tot ongeveer 11,5 Gbps met vier streams, allemaal draadloos. Deze cijfers zijn uiteraard afhankelijk van de hardware en de radio-omgeving, maar de ondersteuning is aanwezig en klaar om optimaal gebruik te maken van de nieuwste generatie apparatuur.
IPFire detecteert nu automatisch de geavanceerde WiFi-hardwaremogelijkhedenWat voorheen handmatig werd geconfigureerd als "HT-mogelijkheden" en "VHT-mogelijkheden"—een omslachtig en foutgevoelig proces—wordt nu intern beheerd. Het systeem activeert automatisch alle door het apparaat ondersteunde functies (MU-MIMO, brede kanalen, enz.), wat resulteert in stabielere, snellere en gemakkelijker te beheren draadloze netwerken.
In omgevingen waar WPA2 of zelfs WPA1 nog steeds in gebruik is, staat IPFire nu het gebruik toe van SHA256 in het authenticatieproces Om de handshake te versterken voor clients die niet met WPA3 kunnen werken. Daarnaast is SSID-bescherming standaard ingeschakeld: als beveiligde managementframes (802.11w) worden gebruikt, schakelt het systeem automatisch beacon-bescherming en operationele kanaalvalidatie in, waardoor bepaalde aanvallen die netwerksignalering manipuleren, worden belemmerd.
Om de luchtefficiëntie te verbeteren, Multicastpakketten worden omgezet naar unicast. Dit is de standaardinstelling wanneer het netwerk voornamelijk bestaat uit moderne, snelle clients. Deze techniek vermindert de zendtijd die wordt verspild aan traditioneel multicastverkeer en verbetert de algehele ervaring, met name in dichtbevolkte netwerken. Indien de hardware dit toelaat, wordt radardetectie (vereist voor DFS in bepaalde frequentiebanden) op de achtergrond uitgevoerd, waardoor merkbare verstoring van de wifi-service wordt voorkomen.
Hoewel de webinterface zelf niet radicaal is veranderd, gebeurt het meeste werk achter de schermen, waar parameters worden geoptimaliseerd en de hardwareprestaties worden gemaximaliseerd. De Lightning Wire Labs-apparaten die IPFire integreren, zijn daar een voorbeeld van. Deze functies worden automatisch geactiveerd.Gebruikers van die apparaten zullen de verbeteringen dus merken zonder veel aan de instellingen te hoeven veranderen.
Ondersteuning voor LLDP en Cisco Discovery Protocol.
Core Update 200 biedt standaard ondersteuning voor Link Layer Discovery Protocol (LLDP) en Cisco Discovery Protocol versie 2 (CDPv2)Deze protocollen stellen IPFire in staat om apparaten op laag 2-niveau te "adverteren" en te ontdekken op direct verbonden segmenten, wat erg handig is in complexe netwerkinfrastructuren.
Dankzij LLDP/CDP kan de firewall identificeren Met welke switchpoorten is het verbonden?Omgekeerd kunnen switches en monitoringtools de locatie van IPFire duidelijk zien op de netwerkkaart. Dit integreert naadloos met platforms zoals Observium en andere netwerkmapping- en monitoringsystemen, waardoor het beheer van grote omgevingen met talloze VLAN's, trunkverbindingen en gedistribueerde apparatuur wordt vereenvoudigd.
De functionaliteit wordt geactiveerd en geconfigureerd vanuit de webinterface, in het gedeelte Netwerk → LLDPwaarbij je kunt bepalen op welke interfaces het protocol is ingeschakeld, welke informatie wordt geadverteerd en hoe de gegevens worden geïntegreerd met de rest van de netwerkconfiguratie.
DNS, PPP en andere kernservices in IPFire 2.29 Core Update 200
De op Unbound gebaseerde DNS-proxy van IPFire heeft ook een aanzienlijke upgrade gekregen. In plaats van in single-threaded modus te draaien, Unbound start nu één thread per CPU-kern.Hierdoor kunt u optimaal profiteren van de tegenwoordig zo gangbare multi-core processoren en de DNS-responstijden onder belasting verkorten, wat merkbaar is in omgevingen met veel clients of veel gelijktijdige verzoeken.
Bij PPP-toegangsverbindingen (zoals sommige DSL-, 4G- of 5G-lijnen) past IPFire het verzenden van LCP keep-alive-pakketten aan. Geef ze alleen uit als er geen noemenswaardig verkeer op de lijn is.Deze kleine aanpassing vermindert de belasting van de verbinding enigszins, wat vooral prettig is bij mobiele verbindingen met beperktere middelen of strikte datalimieten.
Een visueel detail in de beheerdersinterface is gecorrigeerd: De DNS-pagina toont nu consequent de volgende legenda: van de weergegeven elementen, waardoor verwarring bij de interpretatie van de status van de servers, resoluties of geconfigureerde werkmodi wordt voorkomen.
Webproxy en recente beveiligingsmaatregelen
De HTTP/HTTPS-proxycomponent heeft beveiligingsgerichte wijzigingen ondergaan. Specifieke maatregelen ter beperking van de kwetsbaarheid CVE-2025-62168 Binnen de proxyconfiguratie wordt de bescherming tegen aanvalspatronen die verband houden met die CVE versterkt. Op deze manier profiteren gebruikers van IPFire's transparante of geauthenticeerde proxy van extra maatregelen zonder dat ze handmatig configuratiebestanden hoeven aan te passen.
A Raceconditie in het URL-filterprocesOnder bepaalde omstandigheden kon het samenstellen van de filterdatabases abrupt worden beëindigd, wat tijdelijke storingen of inconsistenties veroorzaakte. Met de oplossing in Core Update 200 wordt het samenstellen van de lijsten robuuster uitgevoerd, waardoor het risico dat het filterproces tijdens updates niet meer werkt, wordt geminimaliseerd.
Ervaring met de webinterface en het beheer
De IPFire-webinterface heeft diverse verbeteringen ondergaan op het gebied van gebruiksgemak en er zijn diverse bugs verholpen. Een probleem in de [sectienaam ontbreekt] is opgelost. firewall die het aanmaken van nieuwe locatiegroepen verhinderdeEen zeer nuttige functie voor het groeperen van landen of regio's en het toepassen van regels op basis van geolocatie.
In het gedeelte over hardwarekwetsbaarheden wordt het bericht weergegeven dat verschijnt wanneer het systeem niet... ondersteunt SMT (Simultaneous Multithreading)Dit verduidelijkt voor de beheerder waarom bepaalde beveiligingsmaatregelen of -statussen op een bepaalde manier verschijnen. Daarnaast is een bug in de e-mailmodule verholpen, waardoor referenties met bepaalde speciale tekens Ze kunnen tijdens de opslag "beschadigd" raken, wat authenticatiefouten met externe mailservers kan veroorzaken.
Beveiligingsupdates: OpenSSL, glibc en meer
Wat betreft essentiële bibliotheken is OpenSSL bijgewerkt naar versie 3.6.1 en meerdere kwetsbaarheden zijn verholpen, waaronder CVE-2025-11187, CVE-2025-15467, CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795 en CVE-2026-22796. Deze opeenvolging van CVE's geeft een idee van de cryptografische beveiligingswerkzaamheden die in deze versie is opgenomen.
De glibc-standaardbibliotheek is ook gepatcht tegen diverse relevante beveiligingslekken: CVE-2026-0861, CVE-2026-0915 en CVE-2025-15281Omdat het een centraal onderdeel van het hele systeem is, is het essentieel om het actueel te houden en te corrigeren om het aanvalsoppervlak te verkleinen en ervoor te zorgen dat applicaties profiteren van de nieuwste patches.
Belangrijke update van kernpakketten en -componenten
Core Update 200 brengt een stortvloed aan bijgewerkte pakketten met zich mee. Enkele van de meest opvallende zijn: Apache 2.4.66, bash 5.3p9, BIND 9.20.18, coreutils 9.9, cURL 8.18.0, dhcpcd 10.3.0, elinks 0.19.0, glib 2.87.0, GnuPG 2.4.9, GnuTLS 3.8.11 en vele andere grafische en systeembibliotheken zoals harfbuzz 12.3.0, hwdata 0.403, iana-etc 20251215, intel-microcode 20251111 of libarchive 3.8.5.
Ze worden ook bijgewerkt. libcap-ng 0.9, libgpg-error 1.58, libidn2 2.3.8, libjpeg 3.1.3, libpcap 1.10.6, libplist 2.7.0, libpng 1.6.53, libtasn1 4.21.0, liburcu 0.15.5, libxcrypt 4.5.1Naast tools voor volume- en RAID-beheer zoals LVM2 2.03.38 en mdadm 4.5, zijn ook nieuwe versies van memtest (8.00), meson (1.10.1), newt (0.52.25), ninja (1.13.2), oath-toolkit (2.6.13), OpenVPN (2.6.17), OpenSSL (3.6.1 in de basisstack), SQLite (3.51.100), tzdata (2025c), readline (8.3p3), strongSwan (6.0.4), suricata (8.0.3), suricata-reporter (0.6), Rust (1.92.0), Unbound (1.24.2), wireless-regdb (2025.10.07), vim (9.1.2098) en xz (5.8.2) inbegrepen.
Wat betreft de add-ons, die zijn bijgewerkt. alsa 1.2.15.3, ClamAV 1.5.1, dnsdist 2.0.2, fetchmail 6.6.0, gdb 17.1, Git 2.52.0, fort-validator 1.6.7, freeradius 3.2.8, libtpms 0.10.2, opus 1.6.1, postfix 3.10.6, samba 4.23.4, strace 6.18, tmux 3.6a, Tor 0.4.8.21 en tshark 4.6.3Samengevat biedt dit updatepakket verbeteringen op het gebied van beveiliging, ondersteuning voor nieuwe protocollen, compatibiliteit met moderne hardware en bugfixes die over de gehele stack zijn verspreid.
Aanbevolen add-ons: arpwatch, ffmpeg en andere
Tot de extra functies van IPFire behoren onder andere de volgende: Arpwatch als nieuwe add-onDeze tool controleert MAC-adressen op het netwerk en kan u waarschuwen voor verdachte wijzigingen (bijvoorbeeld wanneer een IP-adres is gekoppeld aan een ander MAC-adres). De meegeleverde versie corrigeert een probleem met de afzenderomslag in e-mails, waardoor sommige mailservers berichten weigerden. Nu wordt een correct afzenderadres verzonden en worden MAC-adressen altijd zonder opvulling weergegeven, wat de leesbaarheid van de rapporten verbetert.
Pakket FFmpeg is bijgewerkt naar versie 8.0. in de pluginsuite. Deze is opnieuw gecompileerd en gekoppeld aan OpenSSL en de LAME-bibliotheek, waardoor de streamingfunctionaliteit van externe bronnen met HTTPS en MP3-codering kan worden hersteld. Dit maakt het gebruik van IPFire als integratiepunt voor multimediaoplossingen die beveiligde content moeten afspelen of doorsturen mogelijk.
Andere accessoires die worden vernieuwd zijn onder meer: dnsdist 2.0.1, fetchmail 6.5.7, hostapd met recente revisies (f747ae0), libmpdclient 2.23, mpd 0.24.5, mympd 22.1.1, nano 8.7, openvmtools 13.0.5, Samba 4.23.2, shairport-sync 4.3.7, Tor 0.4.8.19, tshark 4.6.1 en zabbix_agentd 7.0.21 LTSDeze versies corrigeren bugs, voegen ondersteuning toe voor nieuwe functies en passen de compatibiliteit aan met moderne versies van de basisbibliotheken.
Met al deze wijzigingen is IPFire 2.29 Core Update 200 samengevoegd tot een Een volwaardig en veilig firewallplatform, klaar voor de volgende generatie hardware en standaarden.Van WiFi 7 tot de nieuwste kernelversies en cryptografische componenten, IPFire is compatibel met een breed scala aan technologieën. Degenen die al op IPFire vertrouwen voor de beveiliging van hun thuis- of bedrijfsnetwerk, zullen in deze versie een aanzienlijke sprong voorwaarts zien in prestaties, netwerkzichtbaarheid en filtermogelijkheden. Dit alles wordt ondersteund door een actieve community en een ontwikkelingscyclus die voortdurend verbeteringen in beveiliging en ondersteuning integreert.
