IPFire 2.29 kjerneoppdatering 199 Den kommer lastet med dyptgripende forandringer Disse oppdateringene påvirker så godt som alle lag i systemet: fra neste generasjons trådløs støtte til forsterket kjernesikkerhet, inkludert forbedringer av VPN, proxy, webgrensesnitt og en rekke oppdaterte pakker. Denne versjonen, som opprinnelig ble utgitt som en testversjon, er rettet mot krevende miljøer, både bedrifts- og avanserte hjemmebrukere.
Gjennom denne guiden vil vi bryte ned alle de tekniske og funksjonelle innovasjonene Denne oppdateringen inkluderer: støtte for WiFi 7 og WiFi 6, innebygd LLDP/CDP-integrasjon, en ny kjerne, endringer i systemet for forebygging av inntrenging, forbedringer av OpenVPN, forbedringer av proxy, mindre grensesnittjusteringer, oppdaterte tillegg og den betydelige utviklingsarbeidet som ligger bak det. Hvis du bruker IPFire i et produksjonsmiljø, bør du forstå hva som er endret og hvordan det kan være til nytte for deg.
IPFire 2.29 Core Update 199 tar et sprang fremover innen trådløse nettverk: støtte for WiFi 7 og WiFi 6
En av de store stjernene i denne versjonen er IPFires direkte kompatibilitet med WiFi 7- og WiFi 6-tilgangspunkterFrem til nå fungerte noe av maskinvaren allerede, men de avanserte funksjonene til disse standardene ble ikke utnyttet fullt ut. Med Core Update 199 kan systemet nå dra full nytte av disse avanserte funksjonene for å levere høyere hastighet og lavere ventetid.
Nå er det mulig å ganske enkelt angi foretrukket WiFi-modus fra grensesnittetog la IPFire håndtere resten av konfigurasjonen. 802.11be (WiFi 7) og 802.11ax (WiFi 6) legges til den eksisterende 802.11ac/agn, og en kanalbredde på opptil 320 MHz støttes. Dette gir virkelig imponerende båndbreddetall: over 5,7 Gbps med to romlige strømmer eller rundt 11,5 Gbps med fire strømmer, over hele luften.
En annen viktig endring er at IPFire oppdager automatisk egenskapene til WiFi-maskinvaren og aktiverer støttede funksjoner uten behov for å fikle med kryptiske innstillinger. Tidligere ble konfigurering av «HT-funksjoner» og «VHT-funksjoner» gjort manuelt, med påfølgende risiko for feil og bortkastet tid. Nå sørger systemet for å aktivere alt det trådløse kortet støtter på en sikker måte, noe som resulterer i mer stabile og raskere nettverk.
Når det gjelder trådløs sikkerhet, introduseres alternativet til styrke nettverk som fortsatt bruker WPA2 eller WPA1Når det finnes klienter som ikke kan bruke WPA3, vil IPFire tillate bruk av SHA256 under autentisering, noe som styrker håndtrykket uten å tvinge frem oppgivelsen av disse eldre protokollene, noe som fortsatt er nødvendig i mange blandede enhetsparker.
Denne oppdateringen kommer som standard. Aktiver SSID-beskyttelse via MFP (Administrasjonsrammebeskyttelse, 802.11w) der det er tilgjengelig. I disse tilfellene aktiverer systemet automatisk Beacon-beskyttelse og validering av driftskanaler, noe som hindrer angrep basert på forfalskede administrasjonsrammer og forbedrer nettverkets robusthet mot ondsinnet interferens.
For å optimalisere spektrumbruken har IPFire en mekanisme som konverterer multicast-trafikk til unicast som standard. Dette er spesielt nyttig når de fleste klientene er moderne og raske. Det frigjør sendetid og reduserer kollisjoner, noe som er spesielt nyttig i tettbygde nettverk som bruker mye audiovisuelle tjenester eller kringkastingstrafikk.
Hvis maskinvaren tillater det, er det gjort bakgrunnsradardeteksjonDette er viktig for riktig drift med DFS-kanaler og overholdelse av forskrifter for frekvensbånd som deles med radartjenester. Alt dette er sømløst integrert i grensesnittet, som stort sett forblir uendret, ettersom det virkelige arbeidet skjer under panseret.
Lightning Wire Labs-produkter, spesielt utviklet for IPFire, Disse avanserte WiFi-funksjonene aktiveres automatisk.Dette betyr at brukere av disse apparatene vil få mest mulig ut av det nye trådløse batteriet fra første stund.
Nettverksoppdagelse med LLDP og Cisco Discovery Protocol
I komplekse miljøer, å vite nøyaktig Hva kobler hvert brannmurgrensesnitt seg til? Det er nøkkelen til diagnose og dokumentasjon. Med Core Update 199 har IPFire innebygd støtte for LLDP (Link Layer Discovery Protocol) og CDPv2 (Cisco Discovery Protocol), to protokoller som er mye brukt i administrerte svitsjer og profesjonelt nettverksutstyr.
Takket være denne integrasjonen kan brannmuren identifiser automatisk enhetene som er koblet til hver fysiske port og bestemme hvilken svitsjport hvert grensesnitt kobles til. Dette forenkler ting betraktelig når man jobber med rack fulle av utstyr, VLAN-er, trunker og aggregeringer, og integreres sømløst med overvåkings- og kartleggingsverktøy som Observium.
Funksjonaliteten administreres enkelt fra webgrensesnittet, i menyen. Tjenester → LLDPhvor den kan aktiveres, deaktiveres eller parametere justeres i henhold til miljøets behov. På denne måten blir IPFire en mer synlig og fullstendig integrert aktør i nettverkstopologien.
Oppdaterte kjerne- og ytelsesforbedringer i IPFire 2.29 Core Update 199
En annen viktig del av denne kjerneoppdateringen er IPFire-kjernenoppdatering til Linux-grenen 6.12.58Denne versjonsoppgraderingen bringer en rekke sikkerhets- og stabilitetsrettinger, samt ytelsesforbedringer som er spesielt merkbare på moderne maskinvare og krevende arbeidsbelastninger.
Enkelte ting har blitt gjennomgått konfigurasjonsinnstillinger relatert til planlegging av feilsøking og samtidighet (preemption debugging). Deaktivering eller finjustering av visse feilsøkingsparametere som ikke er nødvendige i produksjon, resulterer i en merkbar økning i ytelsen på mange systemer, noe som reduserer ventetid og forbedrer brannmurens responstid under belastning.
Styrking av systemet for inntrengingsforebygging (IPS)
Hjertet i IPFires IPS, Suricata har blitt oppdatert til versjon 8.0.2Denne endringen medfører ikke bare interne forbedringer i trafikkanalysemotoren, men åpner også døren for nye regler og deteksjonsmuligheter, og holder systemet oppdatert mot nåværende trusler.
IPS-rapporteringsfunksjonaliteten mottok også En betydelig justering på grunn av problemer med SQLite-databasen brukes internt. Når dette systemet var opptatt, kunne noen varsler bli oversett. Dette problemet er løst med versjon 0.5 av suricata-reporter-pakken, som sikrer at varsler logges og rapporteres pålitelig.
I tillegg vil IPS-rapportene nå ha en fast leveringsplan klokken 1:00Denne lille endringen er et svar på forespørselen fra flere administratorer som trengte å ha rapportene klare tidlig om morgenen, og dermed forenkle den daglige gjennomgangen av sikkerhetsstatusen før arbeidsdagens start.
OpenVPN-forbedringer for roamingklienter i IPFire 2.29 Core Update 199
OpenVPN Roadwarrior-modulen mottar også en pakke med små, men betydelige optimaliseringer for eksterne tilgangsmiljøerFor det første, hvis serveren fortsatt bruker chiffer som anses som eldre algoritmer, vil grensesnittet fremheve dem for å tiltrekke seg administratorens oppmerksomhet og oppmuntre dem til å planlegge en migrering til mer robuste algoritmer.
Muligheten for sende flere DNS- og WINS-servere til klienterDette er svært nyttig i bedriftsnettverk med flere domener, interne resolvere eller blandede miljøer. Det forenkler konfigurasjonen betraktelig uten å kreve hacks eller ekstra skript på klientsiden.
OpenVPN-serveren fungerer nå. alltid i flerhjemmodusDette stemmer bedre overens med virkeligheten til IPFire, som vanligvis distribueres med flere nettverksgrensesnitt. Med denne innstillingen svarer serveren konsekvent med den samme IP-adressen som klienten kobler seg til, uavhengig av om tilkoblingen stammer fra det interne eller eksterne nettverket, noe som forhindrer uventet oppførsel i scenarier med flere ruter.
En feil er også rettet som forhindret at den første tilpassede ruten ble sendt riktig Denne sårbarheten kan føre til at visse nettverk blir utilgjengelige gjennom tunnelen, selv om resten av konfigurasjonen var riktig definert. Med oppdateringen distribueres nå tilpassede ruter som forventet.
Når det gjelder autentisering, er det komponenten som er ansvarlig for å validere brukere. Den håndterer OTP-flyter bedre.Når klienten blir «forvirret» under totrinnsautentiseringsprosessen, vil serveren gjøre en ekstra innsats for å veilede dem og fullføre påloggingen riktig, noe som reduserer hendelser på grunn av misforståelser fra sluttbrukeren.
Til slutt fjernes den fra klientkonfigurasjonsfilen auth-nocache-direktivetsiden den var ineffektiv i denne sammenhengen. Å fjerne den forenkler filen uten å påvirke den faktiske sikkerheten til utrullingen negativt.
Proxy: Sikkerhets- og stabilitetsbegrensninger for IPFire 2.29 Core Update 199
IPFires proxy drar også nytte av endringer som er utformet for å redusere sikkerhetsrisikoer og forbedre racingsituasjonerFørst iverksettes en spesifikk begrensning mot sårbarheten identifisert som CVE-2025-62168, som forsterker konfigurasjonen for å forhindre mulig utnyttelse.
På den annen side er det løst en kappløpstilstand som kan føre til at URL-filterprosessen blir tvunget til å bli avsluttet under kompileringen av databasene deres. Under visse omstendigheter resulterte dette i sporadiske krasj eller tap av filtrering inntil tjenesten ble startet på nytt. Med den innebygde løsningen skal listekompileringen fortsette uten avbrudd.
Små, men betydelige forbedringer av webgrensesnittet
Nettadministrasjonsgrensesnittet får flere forbedringer som, selv om de ikke er spektakulære, De forbedrer den daglige brukervennligheten tydeligvisBrannmurmodulen retter en feil som forhindret opprettelse av nye lokasjonsgrupper, en svært nyttig funksjon for å administrere regler basert på land eller regioner.
I seksjonen dedikert til maskinvaresårbarheter, En tydeligere melding vises nå når systemet ikke støtter SMT. (Samtidig flertråding). I stedet for forvirrende meldinger, forstår administratoren CPU-situasjonen bedre og hvordan den påvirker visse tiltak.
E-postmodulen justerer håndteringen av påloggingsinformasjonen de inneholder delikate spesialtegnDette hindrer at de blir ødelagt eller «forvrengt» under lagring. Dette reduserer problemer ved konfigurering av varsler og andre tjenester som er avhengige av SMTP-autentisering.
Generelle endringer og systemoppdateringspakke
Utover de spesifikke funksjonene inkluderer denne oppdateringen grunnleggende systemmodifikasjoner og en stor mengde oppdaterte pakkerFor det første er D-Bus-daemonen nå satt til å kjøre som standard i IPFire, noe som baner vei for fremtidige funksjoner som vil stole på denne interne meldingsinfrastrukturen.
Initramfs-konstruksjonssystemet utvikler seg også: dracut er erstattet av dracut-ngSiden det opprinnelige prosjektet har blitt forlatt av Red Hat, sikrer denne endringen aktivt vedlikehold og et mer solid grunnlag for oppstarts- og gjenopprettingsprosesser.
Blant de nye funksjonene er tillegget av dma, et verktøy designet for å generere lokale postkasser og administrere e-post på en lettvekts måte, spesielt nyttig i systemer som ikke krever en tung MTA, men som krever noe intern leveringsfunksjonalitet.
Krypteringsstakken er også justert for å samkjøre IPFire med gjeldende anbefalinger: SSH-krypteringspakken synkroniserer med oppstrøms og prioriterer AES-GCM fremfor AES-CTR, og favoriserer mer robuste autentisert moduser som standard.
Det er også korrigert en kappløpstilstand i håndheving av brannmurreglerI det forrige systemet kunne et sett med regler som allerede var på plass forsvinne hvis en annen regel ble innført samtidig. Med dette nye systemet forblir reglene konsistente selv med hyppige endringer i regelverket.
Andre endringer
Når det gjelder kjernepakkekatalogen, oppdaterer Core Update 199 en lang liste med grunnleggende komponenter. Disse inkluderer blant annet: coreutils 9.8, c-ares 1.34.5 (oppdatert mot CVE-2025-31498), cURL 8.17.0 og BIND 9.20.16, grunnleggende søyler for systemverktøy og navneløsning.
Viktige biblioteker og verktøy blir også oppgradert, som for eksempel boost 1.89.0, btrfs-progs 6.17.1, elfutils 0.194, expat 2.7.3 (med rettelser for CVE-2025-59375 og CVE-2024-8176), fmt 12.1.0, FUSE 3.17.4 og glib 2.86.0, som styrker kompatibilitet og sikkerhet.
Oppdateringer er inkludert harfbuzz 12.1.0, hwdata 0.400, iana-etc 20251030, iproute2 6.17.0, kbd 2.9.0, less 685, libarchive 3.8.2, libcap 2.77, libgpg-feil 1.56, libxml2 2.15.1 og LVM2 2.03.36alle kritiske komponenter for systemadministrasjon, konsoll, lagring og dataparsing.
Pakken med bygge- og utviklingsverktøy blir også oppdatert med nasm 3.00, ninja 1.13.1, protobuf 33.0 og Rust 1.85.0I mellomtiden er den innebygde databasen og diverse nettverkstjenester forbedret takket være SQLite 3.51.0, Suricata 8.0.2, suricata-reporter 0.5, strongSwan 6.0.3, unbound 1.24.1 og andre.
Oppdateringspakken fullføres av forskjellige system- og administrasjonsverktøy som f.eks. sysvinit 3.14, udev 258, util-linux 2.41.2, vim 9.1.1854, whois 5.6.5, usbutils 019 og xfsprogs 6.17.0I tillegg til flere "kodeoppryddinger" spredt utover i koden, som forbedrer vedlikeholdbarheten og reduserer teknisk gjeld.
Tillegg: Nye funksjoner og oppdaterte versjoner
IPFire-plugin-økosystemet blir også oppdatert, og inkluderer Rettelser og nye funksjoner i flere tilleggEt av verktøyene som får oppmerksomhet er arpwatch, som er utviklet for å overvåke endringer i MAC-adresser på nettverket.
En feil som forhindret arpwatch fra Send riktig avsendernavn i e-postvarsleneDette førte til at noen servere avviste disse meldingene. Videre vises MAC-adresser nå alltid uten polstring, noe som gjør dem enklere å lese og forhindrer forvirring.
ffmpeg-tillegget er oppdatert til Versjon 8.0 har en ny kobling til OpenSSL og lame-biblioteket.Takket være dette kan IPFire igjen håndtere strømmer fra eksterne kilder via HTTPS og mp3-koding uten problemer, og gjenopprette strømmefunksjoner som noen administratorer gikk glipp av.
Sammen med disse endringene oppdateres en rekke tilleggspakker i tilleggene, som for eksempel ClamAV 1.5.1, dnsdist 2.0.1, fetchmail 6.5.7, hostapd f747ae0, libmpdclient 2.23, mpd 0.24.5 og mympd 22.1.1, forbedring av antivirusfunksjoner, avansert DNS, e-post, multimedietjenester og tilgangspunktadministrasjon.
Omfanget av denne versjonen gjør det tydelig at IPFire fortsetter å satse på utvide nettverksfunksjoner, styrke sikkerheten og kontinuerlig forbedre administrasjonsopplevelsenFra den nye generasjonen WiFi og forbedret synlighet med LLDP/CDP, til den moderniserte kjernen, den mer pålitelige IPS-en, forbedringer av OpenVPN, den forsterkede proxyen, små grensesnittrettelser, det oppdaterte pakkebiblioteket og utvidede tillegg, kommer alt sammen for å tilby et raskere og sikrere system klart for komplekse scenarier, alltid støttet av et fellesskap og team som trenger støtte for å holde tritt med dette utviklingstempoet.