IPFire

Az IPFire egy nyílt forráskódú operációs rendszer, amelyet az alapokból terveztek, hogy dedikált, biztonságos és rugalmas tűzfalrendszer legyen, amely a legjobb Linux-technológiák, például az iptables, az OpenSSL és az OpenSSH.

Ez az apró operációs rendszer letölthető a Softoware vagy a hivatalos weboldalán keresztül (lásd a fenti linket) egyetlen, csak kb. 150MB-os, csak a 32 bites (i586) utasításkészlet-architektúrával címkézett CD ISO-képhez. Míg a distro indít és telepít 64 bites hardver platformokon, csak 32 bites alkalmazásokat fogad.

A gyönyörűen megtervezett és jól szervezett rendszerindító menü lehetővé teszi, hogy közvetlenül és véglegesen telepítse az elosztást egy helyi meghajtóra. Ezenkívül az operációs rendszert szöveges módban is telepítheti, felügyelet nélküli telepítést végezhet, memóriamodulációs tesztet futtathat a Memtest86 + segédprogrammal, valamint részletes hardverinformációkat a Hardverérzékelő eszközzel (HDD).

Nagyon egyszerűen használható szöveges módú telepítőprogram

A teljes telepítési folyamat szöveges, és a felhasználónak csak egy nyelvet kell választania (a támogatott nyelvek angolul, törökül, lengyelül, oroszul, hollandul, spanyolul, franciául és németül), elfogadják az engedélyt, (a támogatott fájlrendszerek közé tartozik az EXT2, az EXT3, az EXT4 és a ReiserFS).

A telepítés után ki kell választani egy billentyűzet elrendezést és időzónát, be kell írnia a gép nevét és tartománynevét, be kell írnia a root (rendszergazda) és az adminisztrátori fiókhoz tartozó jelszót, valamint be kell állítania a hálózatot ( DNS, átjáró, IP cím, illesztőprogramok és hálózati kártya beállításait tartalmazza.)

Összefoglalva, az IPFire a világ egyik legjobb nyílt forráskódú tűzfal-elosztása, amelyet a legkorszerűbb tűzfal, a VPN-átjáró és a proxykiszolgáló összetevők számára fejlesztettek ki. A design moduláris és rugalmas, ami azt jelenti, hogy funkcionalitása kibővíthető pluginekkel.

Újdonság ebben a kiadásban:

• Csak RAM-proxy:
• Egyes telepítéseknél célszerű lehet csak a proxy cache objektumokat tárolni a memóriában, és nem a lemezen. Különösen akkor, ha az internetkapcsolat gyors és a tárolás lassú, ez a leghasznosabb.
• A webes felhasználói felület most lehetővé teszi a gyorsítótár méretének nullára való beállítását, amely teljes mértékben letiltja a lemezek gyorsítótárát. Köszönjük Danielnek, hogy ezt dolgozza.
• OpenVPN 2.4:
• Az IPFire migrált az OpenVPN 2.4-re, amely új AES-GCM osztályú kódolást vezet be, ami növeli a teljesítményt olyan rendszereken, amelyek hardveres gyorsítással rendelkeznek. A frissítés számos egyéb kisebb javítást is tartalmaz.
• Erik az integrációval foglalkozik, amihez valamilyen munka szükséges a motorháztető alatt, de összeegyeztethető minden korábbi konfigurációval mind az útkarbantartó kapcsolatokhoz, mind a net-to-net kapcsolatokhoz.
• Javított kriptográfia:
• A titkosítás egy biztonságos rendszer alapja. Frissítettük az elosztást az OpenSSL kriptográfiai könyvtár legújabb verziójának (1.1.0 verzió) használatára. Ez számos új kódolást tartalmaz, és a kódbázis alapos újrahasznosítását végezték.
• Ezzel a változtatással úgy döntöttünk, hogy teljes mértékben elavult az SSLv3, és a webes felhasználói felület TLSv1.2-t igényel, amely szintén sok más szolgáltatás alapértelmezett. Olyan titkosítók keményített listáját állítottuk össze, amelyek csak a legutóbbi algoritmusokat használják, és teljesen eltávolítják a törött vagy gyenge algoritmusokat, mint például az RC4, az MD5 és így tovább.
• Kérjük, ellenőrizze a frissítés előtt, ha ezekre támaszkodik, és frissíti a függő rendszereket.
• Az IPFire különböző csomagjait be kellett illeszteni, hogy képes legyen használni az új könyvtárat. Ez a nagy munka szükséges volt ahhoz, hogy az IPFire a legfrissebb titkosítást nyújtsa, elhagyja az elavult algoritmusokat és kihasználja az új technológiák előnyeit. Például a ChaCha20-Poly1305 ciphersuite áll rendelkezésre, amely gyorsabb teljesítményt nyújt mobileszközökön.
• Az OpenSSL könyvtár régi verziója (1.0.2) még mindig kompatibilitási okok miatt maradt a rendszerben, és továbbra is rövid ideig fennmarad. Végül ez teljesen eltávolításra kerül, ezért kérjük, kövesd az egyedi beépített kiegészítőket az OpenSSL 1.0.2 használatával.
• Egyéb:
• A Pakfire megtudta, mely tükrözõ szerverek támogatják a HTTPS-t, és automatikusan kapcsolatba lépnek velük a HTTPS-n keresztül. Ez javítja a magánélet védelmét.
• Elindítottuk a tervezett Pakfire kulcs-átütemezésének egyik fázisát is.
• Az MTU Discovery útvonalat letiltották a rendszerben. Ez folyamatosan problémákat okozott az IPsec alagutak stabilitásával, amelyek a nem megfelelően konfigurált hálózatok útvonalait választották.
• A QoS-sablon hibásan számíthatja ki azt a sávszélességet, amelyet most már rögzítettek, hogy a garantált sávszélesség összege az összes osztályra nem haladja meg a 100% -ot
• Frissített csomagok:
• kötés 9,11.3, görbe 7.59.0, dmidecode 3.1, gnupg 1.4.22, hdparm 9.55, logrotate 3.14.0, net-SSLeay 1.82, ntp 4.2.8p11, openssh 7.6p1, python-m2crypto 0.27.0, Nincs korlátozás 1.7.0, vnstat 1.18
• Add-ons:
• Ezek a kiegészítők frissítésre kerültek: clamav 0.99.4, htop 2.1.0, krb5 1.15.2, ncat 7.60, nano 2.9.4, rsync 3.1.3, tor 0.3.2.10, wio 1.3.2 < li>

Újdonság a verzióban:

• OpenSSL 1.0.2n:
• Egy közepes és egy alacsony biztonsági rést kihasznált az OpenSSL 1.0.2n. A hivatalos biztonsági tanácsadó itt található.
• IPsec:
• Most lehet definiálni az inaktivitás időtúllépési idejét, amikor az üres IPsec VPN alagút lezárásra kerül
• Az alcsoportokkal rendelkező MODP-csoportok támogatása
• A tömörítés alapértelmezés szerint le van tiltva, mert egyáltalán nem nagyon hatékony

A
• strongswan frissítve 5.6.1-re
• OpenVPN:
• Most könnyebb az OpenVPN Roadwarrior kliensek IPsec VPN hálózatokba történő eljuttatásával kiválasztani az egyes ügyfelek konfigurációit. Ezáltal könnyebben konfigurálható a hub-és-spoke modellek.
• Eszköztár létrehozása:
• Néhány beépített szkriptet újratelepítettek a felépítési folyamat tisztításához, és az eszköztárat áthelyeztük a / tools-ból a / tools_ & lt; arch & gt;

A
• nasm, a Net Assembler frissítve lett 2.13.2-re
• Egyéb:
• Az SSL tömörítési és SSL-munkamenetek le vannak tiltva az Apache-ban. Ez javítja a webes felhasználói felület biztonságát.
• A különböző helyeken GeoIP információ áll rendelkezésre, ahol IP-címek jelennek meg, és ezek az információk hasznosak a
• A webes felhasználói felületen lévő statikus útvonalak hozzáadása
• Néhány esztétikai probléma a rögzített portálkonfigurációs oldalakon rögzítve van, és a befogadott portál a proxyval együttműködve átlátható módon
• A rendszergazda eltávolítása a kiszolgálóhoz most beállítható TCP vagy UDP használatára
• Add-ons:
• A Samba frissítve frissített számos biztonsági problémát
• mc frissítve a következőre: 4.8.20

A
• nano frissítve a 2.9.1-re
• Az sslscan, a vsftpd és a Pound le lettek dobva, mert nem tartják fenn a jövőben, és összeegyeztethetetlenek az OpenSSL 1.1.0-szel

Újdonság a 2.19-es verzióban Core 116 / 3.0 Alpha 1:

• openssl 1.0.2m:
• Az OpenSSL projekt kiadta az 1.0.2m verziót, és két biztonsági figyelmeztetést adott ki az elmúlt héten. A felfedezett két sérülékenység mérsékelt és alacsony szintű volt, de úgy döntöttünk, hogy a lehető leghamarabb elküldjük Önnek ezt a frissítést. Ezért ajánlatos frissíteni a lehető leghamarabb.
• A súlyosabb sérülékenység, mint a CVE-2017-3736, javítja a problémát a modern Intel Broadwell és AMD Ryzen processzorokkal, ahol az OpenSSL néhány modern DMI1, DMI2 és ADX kiterjesztést használ, és helytelenül számítja ki a négyzetgyököt. Ezt kihasználni egy olyan támadó, aki képes jelentős erőforrásokat felvenni a magánkulcs helyreállítására, könnyebbé teszi ezt a támadást az OpenSSL biztonsági csapata gyakorlatilag megvalósíthatatlannak tartja.
• A kevésbé súlyos sérülékenységet a tanúsítványadatok túlköltekezése okozta, amikor a tanúsítvány hibás IPAddressFamily kiterjesztéssel rendelkezik. Ez vezethet a tanúsítvány téves megjelenítéséhez szöveges formátumban. Ez a biztonsági rés a CVE-2017-3735 alatt található.
• Egyéb:
• A wget két olyan biztonsági rést is szenvedett, amelyek lehetővé tették a támadó számára, hogy tetszőleges kódot fusson le. Ezek a CVE-2017-13089 és a CVE-2017-13090 alatt vannak hivatkozva.
• Az apache frissítése a 2.4.29-es verzióra történt, amely számos hibát javít.

A
• horkolás frissítve lett a 2.9.11 verzióra.

A
• xz szintén frissítve lett az 5.2.3-as verzióra, amely különböző fejlesztéseket eredményez.

Mi új a 2.19 verzióban Core 113 / 3.0 Alpha 1:

• Ki van online ?:
• Ki van online? (vagy WIO rövidítve) végül megérkezett az IPFire-re. Ezt az eredeti szerző, Stephan Feddersen és Alex Marx hordozta, és szokásos kiegészítő csomagként is elérhető.
• Ez egy beépített megfigyelő szolgáltatás a helyi hálózathoz, amely bemutatja, hogy mely eszközök vannak csatlakoztatva, amelyek onlineek és riasztásokat küldhetnek különböző eseményekről. Próbáld ki!
• Misc.
• A DNS-gyökérkulcsokat frissítettük, hogy a DNS-munka a 2017 októberi után is folytatódjon, miután a DNSSEC kulcscserét végrehajtottuk
• A soros konzolok automatikusan felismeri a baudert, miután a rendszermag el lett indítva
• A csomag frissítései Matthias Fischer: bind 9.11.2, gnutls 3.5.14, libgcrypt 1.8.0, logrotate 3.12.3, nano 2.8.6, pcre 8.41, tintahal 3.5.26, kötetlen 1.6.4
• Add-On:
• Az iftop frissítve lett Erik Kapfer 1.0pre4-re
• Matthias Fischer frissítve: hostapd 2.6, tor 0.3.0.10

Az újdonság a 2.19 Core 112 / 3.0 Alpha 1 verzióban:

• Ez a központi frissítés főleg a frissítés alatt található frissítésekkel érhető el. A központi rendszerkönyvtárak frissítésre kerültek az új főbb verziókhoz, és az építési eszközkészlet jelentős frissítéseket kapott.
• Ezek:
• glibc 2.25
• GNU Compiler Collection 6.3.0
• binutils 2.29
• Python 2.7.13
• ccache 3.3.4, bc 1.07.1, cmake 3.8.1, flex 2.6.4, 2.9.7 biztosíték, boost 1.64.0, gawk 4.1.4, gnutls 3.5.11, grep 2.27, libarchive 3.3.1 , libgcrypt 1.7.7, libgpg-error 1.27, libxml2 2.9.4, mdadm 4.0, openssl 1.0.21, pkg-config 2.29.2, reiserfsprogs 3.6.25, SDL 1.2.15, tintahal 3.5.26, strongswan 5.5.3 , 1.6.3-as, az util-linux 2.28.2-hez kötött.
• Egyéb:
• Az openvpn (2.3.17) néhány biztonsági frissítést kapott, amelyeket a közelmúltban fedeztek fel.
• A távoli parancsfuttatás vulnerarbilitását az ids.cgi-ban lezárták, és hitelesített felhasználók használhatják a parancsértelmező nélküli parancsok futtatását.
• Most lehetséges a tűzfalon olyan hálózatok létrehozása, amelyek a belső zónák valamelyik alhálózatát tartalmazzák.
• Az eszköztárat és a szkripteket is tisztították és fejlesztették.
• Az IPFire netboot-ot frissítettük, így mindig a rendszer legjobb architektúráját használjuk (azaz a 64 bites verzió telepítve van, amikor a rendszer támogatja).
• Add-ons:
• Frissítve:
• 7zip 16.02
• madár 1.6.3
• cyrus-imapd 2.5.11
• iperf 2.0.9
• directfb 1.7.7
• freeradius 3.0.14
• monit 5.23.0
• A miniupnpd alapértelmezés szerint zölden hallgat
• tmux 2.5
• tor 3.0.8
• Eldobott:

A
• impeptor és a tcpick nincs többé upstream

Újdonság a 2.19-es verzióban Core 111 / 3.0 Alpha 1:

• WPA Enterprise hitelesítés kliens módban:
• A tűzfal most hitelesítheti magát egy olyan kiterjesztett hitelesítési protokollt (EAP) használó vezeték nélküli hálózattal. Ezeket általában a vállalatoknál használják, és a hálózatra való csatlakozáshoz felhasználónevet és jelszót kell megadni.
• Az IPFire támogatja a PEAP és a TTLS-t, amelyek a két leggyakoribbak. Ezek megtalálhatók a "WiFi kliens" oldalon beállított oldalon, amely csak akkor jelenik meg, amikor a PIROS felület egy vezeték nélküli eszköz. Ez az oldal tartalmazza a kapcsolat létrehozásához használt állapotot és protokollokat is.
• Az indexoldal különböző információkat is tartalmaz a vezeték nélküli hálózathoz való kapcsolódás állapotáról, sávszélességéről és minőségéről. Ez a WPA / WPA2-PSK vagy WEP-t használó vezeték nélküli hálózatok esetében is működik.
• QoS Multi-Queuing:
• A szolgáltatás minősége most már minden processzor magot használ a forgalom kiegyensúlyozására. Korábban csak egy processzor magot használtak, ami lassabb kapcsolatot eredményezett olyan gyengébb processzorokkal rendelkező rendszereknél, mint például az Intel Atom sorozat stb., Hanem a gyors Ethernet adapterek. Ezt most úgy módosították, hogy egy processzor már nem egy üveg nyak.
• Az új kriptográfiai alapértelmezések:
• Az IPFire kriptográfiai algoritmusainak számos részén hatalmas szerepet játszanak. Ugyanakkor korukban. Ezért megváltoztattuk az alapértelmezéseket az új rendszereken és az új VPN-kapcsolatokon, amelyek valamivel újabbak, és amelyeket erőteljesebbnek tekintünk.
• IPsec:
• A strongSwan legújabb verziója támogatja a 25519-es görbét az IKE és ESP javaslatokhoz, amelyek az IPFire-ben is elérhetők és alapértelmezés szerint engedélyezettek.
• Az új kapcsolatok alapértelmezett javaslata csak az explicit módon kiválasztott algoritmusokat teszi lehetővé, amelyek a lehető legnagyobb biztonságot nyújtják, de kompatibilitási hatással lehetnek régebbi társaikra: az SHA1 leesett, SHA2 256-at vagy magasabbat kell használni; a csoport típusának olyan kulcsot kell használnia, amelynek hossza 2048 bit vagy nagyobb
• Mivel néhányan az IPFire-t használják az ősi berendezésekkel kapcsolatban, mostantól az IKE és az ESP javaslatokon kiválaszthatja a MODP-768-at. Ez úgy tekintendő töröttnek és jelöltnek.
• OpenVPN:
• Az OpenVPN alapértelmezésben az SHA1-et használta a sértetlenséghez, amelyet most új SHA512-re cserélt. Sajnos az OpenVPN nem tud tárgyalni a kapcsolaton keresztül. Tehát ha az SHA512-et meglévő rendszerre szeretné használni, akkor minden ügyfélkapcsolatot újra kell töltenie.
• Különféle jelzőket adtak hozzá annak kiemeléséhez, hogy bizonyos algoritmusok (például MD5 és SHA1) hibásnak vagy titkosítási szempontból gyengék.
• Misc.
• Az IPsec VPN-ek akkor jelennek meg "Csatlakozásként", ha nincsenek létrehozva, de a rendszer
• Megállt egy leállítási hiba, amely késleltette a rendszer leállítását, amikor a piros interfész statikus
• A DNSSEC állapot mostantól jól látható minden rendszeren
• A következő csomagok frissítésre kerültek: acpid 2.0.28, bind 9.11.1, coreutils 8.27, cpio 2.12, dbus 1.11.12, 5.30, gcc 4.9.4, gdbm 1.13, gmp 6.1.2, gzip 1.8, logrotate 3.12.1, logwatch 7.4.3, m4 1.4.18, mpfr 3.1.5, openssl 1.0.21 (csak hibajavítások), openvpn 2.3.16, amely javítja a CVE-2017-7479 és CVE-2017-7478, pcre 8.40 , pkg-config 0.29.1, rrdtool 1.6.0, strongswan 5.5.2, kötetlen 1.6.2, unzip 60, vnstat 1.17
• Matthias Fischer hozzájárult a kozmetikai változtatásokhoz a tűzfalnapló szakaszban
• Gabriel Rolland javította az olasz fordítás
• A felépítés különböző részeinek tisztítása
• Add-ons:
• Új bővítmények:
• ltrace: bináris
könyvtárhívások nyomon követésének eszköze
• Frissített bővítmények:
• A samba addon biztonsági hibát javított (CVE-2017-7494), amely lehetővé tette a távoli kódot írható megosztásokra.
• ipset 6,32
• libvirt 3.1.0 + python3-libvirt 3.6.1
• git 2.12.1
• nano 2.8.1
• netsnmpd, amely az lm_sensors segítségével
segítségével támogatja a hőmérsékletérzékelőket
• nmap 7,40
• tor 0.3.0.7

Az újdonság a 2.19 Core 109 / 3.0 Alpha 1 verzióban:

• DNS javítások:
• Az IPFire belsejében működő DNS-proxy frissítésre került a nem kötött 1.6.0-ra, amely különböző hibajavításokat eredményez. Ezért a QNAME minimalizálása és keményítése az NX tartományok alatt újra aktiválódott.
• Az induláskor az IPFire is ellenőrzi, hogy az IPFire előtt egy útválasztó csökkenti-e a DNS-válaszokat, amelyek hosszabbak, mint egy bizonyos küszöbérték (egyes Cisco-eszközök ezáltal megkönnyítik a DNS-t). Ha ez észlelhető, akkor az EDNS puffer mérete, ha csökkent, ami nem kötött, visszaesik a TCP-hez a nagyobb válaszokért. Ez lelassíthatja a DNS-t enyhén, de végül is működik a rosszul beállított környezetben.
• Egyéb:
• Az openssl frissítése 1.0.2k-re történt, amely számos biztonsági rést "mérsékelt" súlyossággal javít
• A rendszermag most támogatja az újabb eMMC modulokat
• A biztonsági parancsfájl most megbízhatóan működik az összes architektúrán
• A hálózati szkriptek, amelyek MACVTAP hídokat hoztak létre a virtualizáció érdekében, szintén támogatják a szabványos 802.3 hidakat is
• A tűzfal GUI megtagadta az alhálózatok létrehozását, amelyek bármely szabványos hálózat alhálózatát képezték.
• A Matthias Fischer csomag frissítéseket tett a következőhöz: bind 9.11.0-P2 néhány biztonsági javítással, libpcap 1.8.1, logrotate 3.9.1, perl-GeoIP 1.25 modul, horkolás 2.9.9.0, tintahal 3.5.24 amely javítja a különböző hibákat, sysklogd 1.5.1, zlib 1.2.11
• Továbbá, a libpng frissítve lett 1.2.57-re, amely bizonyos biztonsági réseket kijavít
• Add-ons:
• Jonatan Schlag csomagolt Python 3 IPFire-hez
• A libvirt a 2.5-ös verzióra és a qemu 2.8 verziójára is frissítette
• Matthias Fischer számos frissítést nyújtott be a következő csomagokról: nano 2.7.2, tcpdump 4.8.1, tmux 2.3

A
• frissítve a 0.2.9.9-re, amely számos szolgáltatásmegtagadási hibát javít

A
• sarg frissítve 2.3.10-re

Az újdonság a 2.19-es verziójú Core 108 / 3.0 Alpha 1 verzióban:

• Asynchronous Logging:
• Az aszinkron naplózás alapértelmezés szerint engedélyezve van, és már nem konfigurálható. Ez azt eredményezte, hogy néhány olyan program, amely nagy mennyiségű naplóüzeneteket írt, lelassul és lehetséges, hogy nem reagál a hálózatra, ami különböző problémákat okoz. Ez nagyon lassú flash médián és virtuális környezeteken is megmutatkozott.
• Egyéb:
• Annak ellenőrzése, hogy a DNS-kiszolgálók bármilyen hibás konfigurálást elvégeztek-e valamilyen névszervert érvényesítve, bár nem, és valószínűleg egyáltalán nem működnek. Ezt most már rögzítettük, és az ilyen névtelen szervereket használó rendszereknek vissza kell térniük a rekurzus üzemmódba.
• A tűzfal GUI-ban hiba történt, amely tiltotta az IPsec VPN kapcsolatot és az azonos nevű OpenVPN kapcsolatot egy tűzfalcsoporthoz.
• Frissített Core csomagok:

A
• strongswan frissítve lett az 5.5.1 verzióra, amely különböző hibákat javít
• Az ntp frissítve lett a 4.2.8p9 verzióra, amely különböző biztonsági problémákat javít
• A ddns frissítve a 008 verzióra
• Frissített bővítmények:

A
• nano, a szövegszerkesztő frissítve lett a 2.7.1 verzióra
• torony, az anonimitási hálózat frissítve lett a 0.2.8.10 verzióra

Az újdonság a 2.19 Core 107 / 3.0 Alpha 1 verzióban:

• Ez a frissítés javítja az IPFire Linux rendszermagot egy közelmúltban felfedezett, a Dirty COW nevű sérülékenységre. Ez egy helyi kiváltságos escalációs hiba, amelyet egy helyi támadó használhat a root jogosultságok megszerzéséhez.
• Egy másik patch javítja az Intel processzorokat az AES-NI-vel, amely hardveres 256 és 192 bites kulcshosszúságú titkosítást támogat, de a Linux rendszermag nem megfelelően telepítette.
• Javítás az új, nem kötődő DNS-proxy megjelenítéséhez a webes felhasználói felület log részében
• A hdparm 9.5.0 és a libjpeg 1.5.1 frissítve lett

Az újdonság a 2.19 Core 105 / 3.0 Alpha 1 verzióban:

• Az IPFire 2.19 Core Update 105 számos biztonsági problémát javít két kriptográfiai könyvtárban: openssl és libgcrypt. Javasoljuk, hogy a frissítést a lehető leghamarabb telepítse, és indítsa újra az IPFire rendszert a frissítés befejezéséhez.

Az újdonság a 2.19 Core 103 / 3.0 Alpha 1 verzióban:

• Webes proxy-fejlesztések:
• A web proxy tintahal a 3.5-ös sorozathoz frissült, és a stabilitás és a teljesítmény érdekében számos javulás történt.
• Lassú merevlemezes gépeken vagy nagyon nagy tárolókészülékkel rendelkező gépeken valószínűleg előfordulhat, hogy a gyorsítótár index sérült, amikor a proxy leállt. Ez a következő indítás után instabil webes proxy-t eredményezett.
• A leállítási rutin javult, így a gyorsítótár-index-korrupció most nagyon valószínűtlen. Emellett vannak olyan eszközök is telepítve, amelyek lehetővé teszik számunkra, hogy észleljük, hogy a gyorsítótár index sérült-e, és ha igen, akkor automatikusan újraépül a következő indításkor. Ez a frissítés törli a feltehetően sérült indexet minden telepítéskor, és elindítja az index újratelepítését, ami rövid időn belül a frissítés telepítését követően a proxy lassú működéséhez vezethet.
• Egyéb:
• Javítsa ki a setup parancsot, hogy több mint 6 hálózati vezérlőt mutasson be
• Az időzónapú adatbázis frissítése
• Általánosan engedélyezi a doménnevek aláhúzását
• Frissített csomagok: coreutils 8.25, curl 7.48.0, dnsmasq 2.76, findutils 4.6.0, grep 2.24, kevesebb 481, ncurses 6.0, procps 3.2.8, sdparm 1.10, wpa_supplicant 2.5
• Frissített bővítmények:
• 7zip 15.14.1
• clamav 0.99.2
• hostapd 2.5
• Midnight Commander 4.8.17
• nfs (a portmap helyett az rpcbind)
• tor 0.2.7.6

Az újdonság a 2.19 Core 102 / 3.0 Alpha 1 verzióban:

Az újdonság a 2.19 Core 100 / 3.0 Alpha 1 verzióban:

• Ez a frissítés hozza meg az IPFire 2.19-et, amelyet első alkalommal 64 bites Intel (x86_64) verzióra bocsátunk. Ezt a kiadást az openssl és a glibc különböző biztonsági rései késleltették, de sokféle javítást tartalmaz a védőburkolat és a különböző hibajavítások alatt.
• 64 bit:
• Nem lesz automatikus frissítési útvonal a 32 bites telepítésről a 64 bites telepítésre. Szükséges a telepítés manuális újratelepítése azok számára, akik meg akarják változtatni, de egy korábban létrehozott biztonsági másolat visszaállítható, így az egész eljárás általában kevesebb, mint fél órát vesz igénybe.
• A 64 bites verziónál nincs túl sok előnnyel, csak néhány kisebb esetleges teljesítménynövekedést, és természetesen több memória kezelését. Az IPFire 32 bites 64 GB-os RAM-ot képes kezelni, ezért nincs sok szükség a migrációra. Javasoljuk, hogy 64 bites képeket használjon az új telepítésekhez és a meglévő telepítésekhez hasonlóan.
• A rendszermag frissítése:
• Mint minden nagyobb kiadásnál, ez egy frissített Linux kernellel, amely javítja a hibákat és javítja a hardver kompatibilitását. A Linux 3.14.65 számos, a Linux 4.2 által támogatott meghajtókkal szemben támasztott erőteljesebb ellenállást tanúsított a gyakori támadásokkal szemben, mint a stack buffer túlcsordulások.
• A vezeték nélküli kártyák és egyéb összetevők firmware-foltjai ugyanúgy frissültek, mint a hardver-adatbázis.
• Hyper-V teljesítményproblémák:
• A Microsoft Hyper-V hálózati illesztőprogram legfrissebb verziójának háttértartója lehetővé teszi az adatok továbbítását nagyobb sebességgel. A korábbi verziók csak nagyon gyenge átvitelt mutattak a Hyper-V egyes verzióiban.
• Tűzfal-frissítések:
• Lehetőség van bizonyos kapcsolódási modulok engedélyezésére vagy letiltására. Ezek az Application Layer Gateway (ALG) modulok segítenek bizonyos protokolloknak, például a SIP vagy az FTP számára a NAT-val való együttműködésre. Egyes VoIP-telefonok vagy PBX-k problémákkal küzdenek azokkal, így most már le lehet tiltani őket. Néhányuknak szüksége van rájuk.
• A tűzfal optimalizálva is lehetővé teszi a nagyobb átviteli teljesítményt valamivel kevesebb rendszererőforrás használatával.
• Egyéb:
• A használt eszköztár számos programja és eszköze frissítve lett. A GNU Compiler-gyűjtemények új verziója hatékonyabb kódot, erősebb edzést és kompatibilitást kínál a C ++ 11-hez
• GCC 4.9.3, binutils 2.24, bison 3.0.4, grep 2.22, m4 1.4.17, sed 4.2.2, xz 5.2.2
• dnsmasq, az IPFire belső DNS-proxy frissítve lett, és sok bizonytalansági problémát javítottak
• Az openvpn frissítve lett a 2.3.7-es verzióra, és a létrehozott konfigurációs fájlok frissítve lettek, hogy kompatibilisek legyenek az OpenVPN következő verzióival
• Az IPFire mostantól várakozik a rendszerindítással, amikor az idő szinkronizálásra szorul, és a DHCP-t addig használják, amíg a kapcsolat létre nem jön és folytatódik a rendszerindítás.

A
• kötés frissítve lett a 9.10.3-P2 verzióra
• Az ntp frissítve lett a 4.2.8p5 verzióra

A
• tzdata, az időzónameghatározások adatbázisát frissítettük a 2016b verzióra
• A webes felhasználói felületen különböző kozmetikai javítások történtek
• A hibát okozó VLAN-eszközöket nem hozták létre, amikor a szülő NIC megjelenik, javítva
• DHCP kliens: Az MTU törlése törött NIC-ken, amelyek elvesztik a kapcsolatot, javításra került
• A webes kezelőfelületen megjelenített grafikonok adatbázisainak tárolására szolgáló memóriakártya alapértelmezés szerint alapértelmezés szerint olyan telepítések esetén használható, amelyek a flash képet használják, ha több mint 400 MB memória áll rendelkezésre
• Javult a hiba, hogy a szolgáltatás minőségét nem lehet leállítani
• Néhány régi kódot felújítottunk, és néhány nem használt kódot letettünk néhány belső IPFire komponensben
• Add-ons:

A
• owncloud frissítve lett a 7.0.11 verzióra
• A nano frissítve a 2.5.1 verzióra
• Az rsync frissítve lett a 3.1.2 verzióra

Az újdonság a 2.17-es verziójú Core 98 / 3.0 Alpha 1 verzióban:

• A glibc nemrégiben felfedezett biztonsági rése miatt kiadjuk a CVE-2015-7547-re vonatkozó fix javítást tartalmazó központi frissítést.
• A getaddrinfo () felület a glibc, a rendszer fő C könyvtárát használja a DNS-ek használatával a nevek IP-címekbe történő rendezésére. A támadó kihasználhatja a folyamatot a rendszerben, amely ezt a kérést végrehajtja, egy olyan kovácsolt válasz elküldésével, amely túl hosszú ideig okoz egy köteg puffer túlcsordulását. A kódot potenciálisan beinjektálhatjuk és végrehajthatjuk.
• Az IPFire azonban nem használhatja közvetlenül ezt a biztonsági rést, mivel olyan DNS-proxyt használ, amely elutasítja a túl hosszú DNS-válaszokat. Tehát az IPFire és az IPFire DNS-proxy-t használó hálózat minden rendszere a DNS-proxy védi. Azonban úgy döntöttünk, hogy a sebezhetőség javításáért minél gyorsabban kijövünk.

Az újdonság a 2.17 Core 94 / 3.0 Alpha 1 verzióban:

• OpenSSH:
• Az OpenSSH frissítve lett a 7.1p1 verzióra. Ezzel az elliptikus görbékkel (ECDSA és ED25519) támogattuk a támogatást, és eltávolítottuk a DSA-hoz nyújtott támogatást, amelyet töröttnek tekintünk. Túl kicsi RSA kulcsokat távolítanak el és regenerálódnak. Ezek a változások megkövetelhetik az IPFire rendszer kulcsainak újbóli importálását az adminisztrációs számítógépen.
• Belső levelező ügynök
• Belső levelező ügynököt adtak hozzá, amelyet a belső szolgáltatások használnak jelentés vagy figyelmeztetés küldéséhez. Eddig csak néhány szolgáltatás használja ezt (mint például a tintahal számviteli kiegészítő), de a jövőben további dolgokat várunk.
• Ez egy nagyon egyszerű és könnyű e-mail ügynök, amely konfigurálható a webes felhasználói felületen, és általában egy upstream levelező kiszolgálót igényel.
• IPsec MOBIKE:
• Hozzáadott egy új jelölőnégyzetet az IPsec-kapcsolatok speciális beállítások oldalán. Lehetővé teszi a MOBIKE, az IPsec technológia használatát a NAT jobb áthaladására. Néha a hibás útválasztók mögött IPsec-kapcsolatok hozhatók létre, de adatátvitel nem lehetséges, és a kapcsolat nagyon gyorsan megszakad (egyes útválasztóknak nehézsége van DPD csomagok továbbításával). A MOBIKE a 4500 UDP portot használja az IKE üzenetekhez.
• Egyéb:
• A kötelező mezőket csillaggal jelöltük meg. Korábban ez fordítva volt, így az opcionális mezők, ahol egy csillaggal jelölték meg, amely többé nem látható az interneten.
• A havi kényszerített ddns frissítést eltávolítjuk, mivel a ddns gondoskodik arról, hogy naprakészen tartsa az összes rekordot, és ha szükséges, 30 nap után frissítse őket.
• fireinfo: Néhány összeomlást azonosítóval rögzítettek, amelyek csak 0xff
értéket tartalmaznak
• Frissített csomagok:
• bind 9.10.2-P4, coreutils 8.24, dnsmasq kapott az importált legfrissebb változatokat, 5.24-es fájlt, glibc (biztonsági javítások), hdparm 9.48, iproute2 4.2.0, libgcrypt 1.6.4, libgpg-error 1.20, pcre több puffer túlcsorduláshoz), rrdtool 1.5.4, tintahal 3.4.14

Az újdonság a 2.17-es verziójú Core 93 / 3.0 Alpha 1 verzióban:

• DDNS kliens frissítés:

A
• ddns, a dinamikus DNS-frissítési kliensünk frissítve lett a 008-as verzióra. Ez a verzió robusztusabb a hálózati hibákkal szemben a szolgáltató elérési útvonalán és szerverhibáiban. A frissítések ezután ismételten újrapróbálkoznak.
• A joker.com és a DNSmadeEasy szolgáltatók támogatottak
• A nevecheap rekordok frissítésének ütközésével
javítás történt
• Egyéb:
• A Pakfire javításra került, és a régebbi verziótól való frissítéskor helyesen húzza a kiegészítő csomagok függőségét.
• A TRIM egyes SSD-ken letiltva van olyan ismert firmware-hibákkal, amelyek adatvesztést okoznak.
• tintahal-könyvelés: a különböző beolvasási hibák javítása

A
• /etc/ipsec.user-post.conf a biztonsági mentéshez hozzáadódik, ha létezik
• Frissített csomagok:
• bind 9.10.2-P3, daq 2.0.6, dnsmasq 2.75, libevent 2.0.22-stable (áthelyezve a core rendszerhez a bővítményből), libpcap 1.7.4, csalán 3.1.1, pcre (javítások CVE -2015-5073), tintahal 3.4.14
• Add-ons:
• cups 2.0.4, készíts 4.1-et, nano 2.4.2-t