IPFire 2.29 Core-opdatering 199 Den ankommer ladet med dybtgående forandringer Disse opdateringer påvirker stort set alle lag af systemet: fra næste generations trådløse understøttelse til forstærket kernesikkerhed, herunder forbedringer af VPN, proxy, webgrænseflade og en række opdaterede pakker. Denne version, der oprindeligt blev udgivet som en testversion, er rettet mod krævende miljøer, både store virksomheder og avancerede hjemmebrugere.
Gennem hele denne guide vil vi opdele alle de tekniske og funktionelle innovationer Denne opdatering inkluderer: understøttelse af WiFi 7 og WiFi 6, native LLDP/CDP-integration, en ny kerne, ændringer i systemet til forebyggelse af indtrængen, forbedringer af OpenVPN, proxy-forbedringer, mindre grænsefladejusteringer, opdaterede tilføjelser og den betydelige udviklingsindsats, der ligger bag. Hvis du bruger IPFire i et produktionsmiljø, bør du forstå, hvad der er ændret, og hvordan det kan gavne dig.
IPFire 2.29 Core Update 199 tager et spring fremad inden for trådløst netværk: understøttelse af WiFi 7 og WiFi 6
En af de store stjerner i denne version er IPFires direkte kompatibilitet med WiFi 7 og WiFi 6 adgangspunkterIndtil nu fungerede noget af hardwaren allerede, men de avancerede funktioner i disse standarder blev ikke fuldt udnyttet. Med Core Update 199 kan systemet nu drage fuld fordel af disse avancerede funktioner for at levere højere hastighed og lavere latenstid.
Nu er det muligt blot at angive foretrukken WiFi-tilstand fra grænsefladenog lad IPFire håndtere resten af ​​konfigurationen. 802.11be (WiFi 7) og 802.11ax (WiFi 6) tilføjes til den eksisterende 802.11ac/agn, og en kanalbredde på op til 320 MHz understøttes. Dette giver virkelig imponerende båndbreddetal: over 5,7 Gbps med to spatiale strømme eller omkring 11,5 Gbps med fire strømme, over hele luften.
En anden vigtig ændring er det IPFire registrerer automatisk WiFi-hardwarens funktioner og aktiverer understøttede funktioner uden behov for at rode med kryptiske indstillinger. Tidligere blev konfigurationen af ​​"HT-funktioner" og "VHT-funktioner" udført manuelt, med den deraf følgende risiko for fejl og spildtid. Nu sørger systemet for at aktivere alt, hvad det trådløse kort understøtter, sikkert, hvilket resulterer i mere stabile og hurtigere netværk.
Med hensyn til trådløs sikkerhed introduceres muligheden til styrke netværk, der stadig bruger WPA2 eller WPA1Når der er klienter, der ikke kan bruge WPA3, vil IPFire tillade brugen af ​​SHA256 under godkendelse, hvilket styrker handshake uden at tvinge opgivelsen af ​​disse ældre protokoller, noget der stadig er nødvendigt i mange blandede enhedsparker.
Denne opdatering leveres som standard. Aktivér SSID-beskyttelse via MFP (Management Frame Protection, 802.11w) hvor tilgængelig. I disse tilfælde aktiverer systemet automatisk Beacon Protection og Operating Channel Validation, hvilket forhindrer angreb baseret på forfalskede management frames og forbedrer netværkets robusthed mod ondsindet interferens.
For at optimere spektrumudnyttelsen inkorporerer IPFire en mekanisme, der konverterer som standard multicast-trafik til unicast. Dette er især nyttigt, når de fleste klienter er moderne og hurtige. Det frigør sendetid og reducerer kollisioner, hvilket er særligt nyttigt i tætbefolkede netværk, der forbruger meget audiovisuel trafik eller broadcast-trafik.
Hvis hardwaren tillader det, er det gjort baggrundsradardetektionDette er afgørende for korrekt drift med DFS-kanaler og overholdelse af regler for frekvensbånd, der deles med radartjenester. Alt dette er problemfrit integreret i grænsefladen, som stort set forbliver uændret, da det egentlige arbejde foregår under motorhjelmen.
Lightning Wire Labs-produkter, designet specifikt til IPFire, Disse avancerede WiFi-funktioner aktiveres automatisk.Det betyder, at brugere af disse apparater vil få mest muligt ud af det nye trådløse batteri fra første øjeblik.
Netværksopdagelse med LLDP og Cisco Discovery Protocol
I komplekse miljøer, at vide præcis Hvad forbinder hver firewall-grænseflade sig til? Det er nøglen til diagnose og dokumentation. Med Core Update 199 inkorporerer IPFire indbygget understøttelse af LLDP (Link Layer Discovery Protocol) og CDPv2 (Cisco Discovery Protocol), to protokoller, der er meget udbredt i administrerede switche og professionelt netværksudstyr.
Takket være denne integration kan firewallen Identificer automatisk de enheder, der er tilsluttet hver fysisk port og bestemme hvilken switchport hver grænseflade opretter forbindelse til. Dette forenkler tingene betydeligt, når man arbejder med racks fyldt med udstyr, VLAN'er, trunks og aggregeringer, og integrerer problemfrit med overvågnings- og kortlægningsværktøjer som Observium.
Funktionaliteten styres bekvemt fra webgrænsefladen i menuen. Tjenester → LLDPhvor den kan aktiveres, deaktiveres eller parametre justeres i henhold til miljøets behov. På denne måde bliver IPFire en mere synlig og fuldt integreret aktør i netværkstopologien.
Opdateret kerne- og ydeevneforbedringer i IPFire 2.29 Core Update 199
En anden nøglekomponent i denne kerneopdatering er IPFire-kerneopdatering til Linux-gren 6.12.58Denne versionsopgradering bringer adskillige sikkerheds- og stabilitetsrettelser samt ydeevneforbedringer, der er særligt mærkbare på moderne hardware og krævende arbejdsbelastninger.
Visse ting er blevet gennemgået Konfigurationsindstillinger relateret til planlægning af fejlfinding og samtidighed (forebyggende fejlfinding). Deaktivering eller finjustering af bestemte fejlfindingsparametre, der ikke er nødvendige i produktion, resulterer i en mærkbar stigning i ydeevnen på mange systemer, hvilket reducerer latenstid og forbedrer firewallens responstid under belastning.
Styrkelse af systemet til forebyggelse af indtrængen (IPS)
Hjertet i IPFires IPS, Suricata er blevet opdateret til version 8.0.2Denne ændring medfører ikke blot interne forbedringer af trafikanalysemotoren, men åbner også døren for nye regler og detektionsfunktioner, der holder systemet opdateret mod aktuelle trusler.
IPS-rapporteringsfunktionen modtog også En betydelig justering på grund af problemer med SQLite-databasen brugt internt. Når dette system var travlt optaget, kunne nogle advarsler blive overset. Dette problem er blevet løst med version 0.5 af suricata-reporter-pakken, som sikrer, at advarsler logges og rapporteres pålideligt.
Derudover vil IPS-rapporterne nu have en fast leveringsplan kl. 1:00Denne lille ændring imødekommer anmodningen fra flere administratorer, der skulle have rapporterne klar som det første om morgenen, hvilket letter den daglige gennemgang af sikkerhedsstatus inden arbejdsdagens start.
OpenVPN-forbedringer for roamingklienter i IPFire 2.29 Core Update 199
OpenVPN Roadwarrior-modulet modtager også en pakke med små, men betydelige optimeringer til fjernadgangsmiljøerFor det første, hvis serveren stadig bruger krypteringer, der betragtes som ældre, vil brugergrænsefladen fremhæve dem for at henlede administratorens opmærksomhed og opfordre dem til at planlægge en migrering til mere robuste algoritmer.
Muligheden for sende flere DNS- og WINS-servere til klienterDette er meget nyttigt i virksomhedsnetværk med flere domæner, interne resolvere eller blandede miljøer. Det forenkler konfigurationen betydeligt uden at kræve hacks eller yderligere scripts på klientsiden.
OpenVPN-serveren fungerer nu. altid i multihome-tilstandDette stemmer bedre overens med virkeligheden i IPFire, som typisk implementeres med flere netværksgrænseflader. Med denne indstilling svarer serveren konsekvent ved at bruge den samme IP-adresse, som klienten opretter forbindelse til, uanset om forbindelsen stammer fra det interne eller eksterne netværk, hvilket forhindrer uventet adfærd i scenarier med flere ruter.
Der er også blevet rettet en fejl, der forhindrede den første brugerdefinerede rute i at blive sendt korrekt Denne sårbarhed kan medføre, at visse netværk ikke er tilgængelige gennem tunnelen, selvom resten af ​​konfigurationen var korrekt defineret. Med programrettelsen distribueres brugerdefinerede ruter nu som forventet.
Med hensyn til godkendelse, den komponent, der er ansvarlig for at validere brugere Den håndterer OTP-flows bedre.Når klienten bliver "forvirret" under totrinsgodkendelsesprocessen, vil serveren gøre en ekstra indsats for at guide dem og fuldføre login korrekt, hvilket reducerer hændelser på grund af misforståelser hos slutbrugeren.
Endelig fjernes den fra klientkonfigurationsfilen auth-nocache-direktivetda den var ineffektiv i denne sammenhæng. Fjernelse af den forenkler filen uden at påvirke den faktiske sikkerhed ved implementeringen negativt.
Proxy: IPFire 2.29 Core Update 199 Sikkerheds- og stabilitetsreduktioner
IPFires proxy drager også fordel af ændringer designet til at reducere sikkerhedsrisici og forbedre løbssituationerFørst anvendes en specifik afhjælpning mod sårbarheden identificeret som CVE-2025-62168, hvilket forstærker konfigurationen for at forhindre mulig udnyttelse.
På den anden side er det løst en kapløbstilstand, der kan medføre, at URL-filterprocessen bliver tvunget til at blive afsluttet under kompileringen af ​​deres databaser. Under visse omstændigheder resulterede dette i lejlighedsvise nedbrud eller tab af filtrering, indtil tjenesten blev genstartet. Med den indbyggede løsning burde listekompileringen fortsætte uden afbrydelser.
Små, men betydelige forbedringer af webgrænsefladen
Webadministrationsgrænsefladen får flere forbedringer, der, omend ikke spektakulære, De forbedrer tydeligt den daglige brugervenlighed.Firewallmodulet retter en fejl, der forhindrede oprettelsen af ​​nye lokationsgrupper, en meget nyttig funktion til at administrere regler baseret på lande eller regioner.
I afsnittet om hardwaresårbarheder, Der vises nu en tydeligere besked, når systemet ikke understøtter SMT. (Simultan multithreading). I stedet for forvirrende meddelelser forstår administratoren bedre CPU-situationen og hvordan den påvirker visse afhjælpningsforanstaltninger.
Mailmodulet justerer håndteringen af ​​de legitimationsoplysninger, de indeholder sarte specialtegnDette forhindrer dem i at blive beskadiget eller "forvrænget" under lagring. Dette reducerer problemer ved konfiguration af notifikationer og andre tjenester, der er afhængige af SMTP-godkendelse.
Generelle ændringer og systemopdateringspakke
Ud over de specifikke funktioner inkluderer denne opdatering grundlæggende systemændringer og en stor mængde opdaterede pakkerFor det første er D-Bus-dæmonen nu indstillet til at køre som standard i IPFire, hvilket baner vejen for fremtidige funktioner, der vil afhænge af denne interne meddelelsesinfrastruktur.
Initramfs-byggesystemet udvikler sig også: dracut erstattes af dracut-ngDa det oprindelige projekt er blevet opgivet af Red Hat, sikrer denne ændring aktiv vedligeholdelse og et mere solidt fundament for opstarts- og gendannelsesprocesser.
Blandt de nye funktioner er tilføjelsen af dma, et værktøj designet til at generere lokale postkasser og administrere e-mail på en let måde, hvilket er særligt nyttigt i systemer, der ikke kræver en tung MTA, men som kræver en vis intern leveringsfunktionalitet.
Krypteringsstakken er også justeret for at tilpasse IPFire til de nuværende anbefalinger: SSH-krypteringspakken synkroniserer med upstream og prioriterer AES-GCM frem for AES-CTR og favoriserer som standard mere robuste autentificerede tilstande.
Det er også rettet en kapløbstilstand i håndhævelse af firewallreglerI det tidligere system kunne et sæt regler, der allerede var gældende, forsvinde, hvis en anden regel blev indsat samtidig. Med dette nye system forbliver reglerne ensartede, selv med hyppige ændringer i politikken.
Andre ændringer
Hvad angår kernepakkekataloget, opdaterer Core Update 199 en lang liste af grundlæggende komponenter. Disse omfatter blandt andet: coreutils 9.8, c-ares 1.34.5 (opdatering mod CVE-2025-31498), cURL 8.17.0 og BIND 9.20.16, grundpillere for systemværktøjer og navnefortolkning.
Vigtige biblioteker og værktøjer bliver også opgraderet, såsom boost 1.89.0, btrfs-progs 6.17.1, elfutils 0.194, expat 2.7.3 (med rettelser til CVE-2025-59375 og CVE-2024-8176), fmt 12.1.0, FUSE 3.17.4 og glib 2.86.0, hvilket styrker kompatibilitet og sikkerhed.
Opdateringer er inkluderet harfbuzz 12.1.0, hwdata 0.400, iana-etc 20251030, iproute2 6.17.0, kbd 2.9.0, less 685, libarchive 3.8.2, libcap 2.77, libgpg-fejl 1.56, libxml2 2.15.1 og LVM2 2.03.36alle kritiske komponenter til systemadministration, konsol, lagring og dataparsing.
Pakken af ​​bygge- og udviklingsværktøjer bliver også opdateret med nasm 3.00, ninja 1.13.1, protobuf 33.0 og Rust 1.85.0I mellemtiden er den integrerede database og forskellige netværkstjenester forbedret takket være SQLite 3.51.0, Suricata 8.0.2, suricata-reporter 0.5, strongSwan 6.0.3, unbound 1.24.1 og andre.
Opdateringspakken fuldføres af forskellige system- og administrationsværktøjer, f.eks. sysvinit 3.14, udev 258, util-linux 2.41.2, vim 9.1.1854, whois 5.6.5, usbutils 019 og xfsprogs 6.17.0Derudover flere "kodeoprydninger" spredt ud over hele koden, hvilket forbedrer vedligeholdelsen og reducerer teknisk gæld.
Tilføjelser: Nye funktioner og opdaterede versioner
IPFire-plugin-økosystemet opdateres også, og inkorporerer Rettelser og nye funktioner i flere tilføjelserEt af de værktøjer, der får opmærksomhed, er arpwatch, som er designet til at overvåge ændringer i MAC-adresser på netværket.
En fejl, der forhindrede arpwatch i at Send det korrekte afsendernavn i notifikationsmailseneDette fik nogle servere til at afvise disse beskeder. Desuden vises MAC-adresser nu altid uden margen, hvilket gør dem nemmere at læse og forhindrer forvirring.
ffmpeg-tilføjelsen er opdateret til Version 8.0 inkorporerer en ny forbindelse til OpenSSL og lame-biblioteketTakket være dette kan IPFire igen håndtere streams fra eksterne kilder via HTTPS og mp3-kodning uden problemer og gendanne streamingfunktioner, som nogle administratorer har overset.
Sammen med disse ændringer opdateres adskillige yderligere pakker i tilføjelserne, såsom ClamAV 1.5.1, dnsdist 2.0.1, fetchmail 6.5.7, hostapd f747ae0, libmpdclient 2.23, mpd 0.24.5 og mympd 22.1.1, forbedring af antivirusfunktioner, avanceret DNS, e-mail, multimedietjenester og administration af adgangspunkter.
Omfanget af denne version gør det klart, at IPFire fortsætter med at satse på udvide netværksfunktioner, styrke sikkerheden og løbende forbedre administrationsoplevelsenFra den nye generation af WiFi og forbedret synlighed med LLDP/CDP, til den moderniserede kerne, den mere pålidelige IPS, forbedringer af OpenVPN, den forstærkede proxy, små grænsefladerettelser, det opdaterede pakkebibliotek og udvidede tilføjelser, kombineres alt for at tilbyde et hurtigere og mere sikkert system, der er klar til komplekse scenarier, altid bakket op af et fællesskab og team, der har brug for støtte for at holde trit med denne udviklingstempo.