到貨 de IPFire 2.29 – 核心更新 200 這標誌著這款開源防火牆和路由器發行版發展歷程中的轉捩點。此次重大更新引入了現代內核,增強了安全性,提升了網路性能,並更新了大量軟體包和插件。此外,它還新增了 WiFi 7 和高級網路發現支援等尖端技術。
本次核心更新並非僅限於「小補丁」;它是一項 版本載入了結構變化IPFire 新增了網域黑名單系統 (IPFire DBL)、對 Suricata 和 IPS 報告系統進行了重大改進、對 OpenVPN 進行了重大更新、針對最新漏洞的更強大的代理、對 LLDP/CDP 的原生支持,以及一系列更新的庫和工具。所有這些都保持了 IPFire 一貫的穩定性、安全性和易於透過 Web 介面管理的特性。
IPFire 2.29 核心更新 200:新的 IPFire 核心和平台變更
本次版本更新的重點之一是IPFire核心更新。主系統分支已經… 被超越 Linux 6.18.x LTS這帶來了一系列安全性、效能和硬體相容性的改進。 6.18 LTS 系列包含累積的穩定性修復、最新的安全性修補程式以及可降低延遲並提升封包過濾效能的最佳化——這在高流量場景或存在大量防火牆和 NAT 規則的場景中尤其重要。
新核心帶來了 網路效能整體提升它提供更高的吞吐量、更低的延遲和更高級的資料包過濾功能。它還整合了針對最新硬體漏洞的緩解措施,增強了對利用現代 CPU 缺陷發動的攻擊的防護能力。這對於將 IPFire 用作邊界防火牆或具有高安全要求的關鍵基礎設施環境至關重要。
在這個轉型過程中,還有一個重要的決定:它有 已移除對 ReiserFS 檔案系統的支持Linux 核心已將這項技術標記為過時,IPFire 專案也隨之更新。如果您目前的 IPFire 安裝使用 ReiserFS 檔案系統,則無法直接套用 Core Update 200。您需要使用受支援的檔案系統(例如 ext4、XFS 或其他最新 IPFire 映像支援的檔案系統)進行全新安裝。 IPFire 的 Web 介面已就此向使用者發出警告一段時間,因此這項限制並不完全出乎意料。
IPFire DBL:IPFire 2.29 核心更新 200 中的新網域黑名單
由於著名的Shalla清單失效,IPFire的Web代理伺服器失去了代理伺服器。 用於過濾的穩定域名來源 惡意內容、社群媒體或成人網站。鑑於缺乏真正全面且持續維護的替代方案,IPFire 團隊決定創建並維護自己的網域黑名單: IPFire DBL.
IPFire DBL 位於 早期β期然而,它已經在系統的兩個關鍵點上實現了功能性應用:
- 代理 URL 過濾器管理員可以選擇 IPFire DBL 作為要封鎖的網域來源。這樣,任何透過 HTTP/HTTPS 代理的存取都會與該清單進行比對,從而阻止存取潛在危險或有害的網站。
- 與 Suricata (IPS) 集成隨著 IPFire DBL 的到來,該專案也成為了 Suricata 的規則提供者。透過將網域資料庫與深度套件偵測(DNS、TLS、HTTP、QUIC)結合,即使繞過了傳統代理,IPS 也能更徹底地阻止與被禁網域的連線。
儘管資料庫仍在成長,但其目標是為 IPFire 用戶提供 強大、最新且專門設計的黑名單 為了與防火牆生態系統集成,團隊鼓勵社區成員進行測試、報告問題並提出改進建議,以便在未來的版本中對其進行重大改進並添加新功能。
IPFire 2.29 核心更新 200 對入侵防禦系統 (IPS) 進行了改進。
基於 Suricata 的 IPS 正在進行一系列重大改進,旨在提升其報告的效能、可靠性和實用性。先前的更新引入了以下功能: 將預編譯簽章儲存在快取中 為了加快 Suricata 的載入速度。然而,該快取可能會不受控制地成長,並佔用過多磁碟空間。
為了糾正這種行為,核心更新 200 包含一項 允許 Suricata 自動刪除未使用簽署的補丁這樣既能保持快速啟動時間的優勢,又不會影響長期存儲,這對於磁碟容量小的設備或專用設備來說至關重要。
報告組件(suricata-reporter)也得到了擴展:現在,可以針對與以下方面相關的警報進行報告: DNS、HTTP、TLS 或 QUIC此外,還會新增主機名稱和其他相關詳細資訊。這些資訊會同時出現在警報電子郵件和 PDF 報告中,幫助管理員更準確地調查潛在的安全事件或公司策略違規行為。
除了這些變更之外,最近一次接近核心更新 200 的更新還引入了以下內容。 改進IPS故障管理在記憶體有限的系統中,我們觀察到,如果 Suricata 崩潰或被系統終止以釋放內存,防火牆可能會保持比預期更開放的狀態,從而暴露內部服務。雖然沒有觀察到利用此行為的實際攻擊,但這被認為是一個重大的安全風險。
為了緩解這種情況,現在有 對IPS進行監督的嚴密流程 如果偵測到意外丟包,則會重新啟動連線。標記為「白名單」的流量不再被送到 IPS 進行排除:它們會在 iptables 鏈中直接被跳過,從而優化效能並降低複雜性。此外,還新增了過濾 IPsec 流量的功能;在此之前,除少數特定情況外,此類流量會被排除在 IPS 分析之外,而現在,只要 IPsec 流量通過已設定的介面路由,就可以對其進行檢查。
IPS Web介面新增了一項功能。 新績效圖表 此圖顯示了處理後的流量,並將其分為三類:掃描流量(入站和出站)、白名單流量和繞過流量。這清楚地展示了實際的入侵防禦系統 (IPS) 使用情況,並有助於進行更合理的規則和策略調整。
OpenVPN:配置和身份驗證的更改
IPFire 中的 OpenVPN 模組進行了一系列重大調整,以使用戶端和伺服器配置更加靈活,並符合目前的最佳實務。從這個版本開始, 客戶端設定檔不再包含固定的 MTU 值伺服器會將對應的 MTU 值「推送」給每個用戶端,這樣管理員就可以在無需重新產生所有使用者配置的情況下變更此值。值得注意的是,一些非常老舊的客戶端可能無法完全理解這種行為。
如果使用基於一次性密碼 (OTP) 的兩步驟認證, 伺服器現在正在發送一次性令牌。 當用戶端啟用一次性密碼 (OTP) 時,此操作會將邏輯集中在伺服器端,避免不一致,並簡化臨時憑證的管理。
此外,客戶資料不再包含以下內容 憑證授權單位 (CA) 嵌入在 PKCS#12 容器之外先前,由於憑證重複,使用 NetworkManager 等工具從命令列匯入連線時可能會出現問題。現在,CA 憑證已包含在 PKCS#12 檔案中,因此消除了這種冗餘,簡化了流程並防止了錯誤。
在「行動辦公」伺服器設定中新增了更多設定。當 OpenVPN 伺服器繼續使用時 被視為遺留問題的密碼IPFire 現在會突出顯示此訊息,以提醒管理員建議遷移到更現代的套件。它還允許向客戶端推送多個 DNS 和 WINS 伺服器,這在存在多個內部網域或特定名稱伺服器的複雜網路中非常有用。
OpenVPN 伺服器現在運作正常。 始終處於多家庭模式這在具有多個介面的防火牆中很有意義。它確保伺服器始終使用客戶端最初連接的相同 IP 位址回應用戶端,即使伺服器有多條通往網際網路或內部網路的出站路徑。此外,還修正了一個導致客戶端定義的第一個自訂路由無法正確推送的錯誤,並改進了 OTP 驗證流程,以便在客戶端遇到問題時提示其完成第二重驗證。
最後,該策略已從客戶端配置中移除。 auth-nocache,由於其 實際效果幾乎為零。 實際上,這造成了一種虛假的安全感。經過這些改進,IPFire 中的 OpenVPN 現在更符合當前的最佳實踐,也讓管理員的工作更輕鬆。
WiFi 7 與 WiFi 6:無線網路的世代飛躍
這次更新最引人注目的方面之一是 IPFire 終於可以充分利用 WiFi 7 (802.11be) 和 WiFi 6 (802.11ax) 的功能了。 它作為無線接入點發揮作用。雖然硬體之前就能正常運作,但這些標準的新特性現在得以展現並妥善管理。
在無線設定中,您可以選擇 首選 WiFi 模式 剩下的就交給 IPFire 來處理吧。該系統全面支援 802.11be 和 802.11ax 標準,以及已有的 802.11ac/agn 模式。這包括使用高達 320 MHz 的通道,從而實現超過 5,7 Gbps 的頻寬(雙空間流)或高達約 11,5 Gbps 的頻寬(四空間流),所有傳輸均以無線方式完成。這些數值顯然取決於硬體和無線電環境,但係統已具備充分的支持,可隨時充分利用最新一代設備的性能。
IPFire現在可以自動偵測 先進的WiFi硬體功能以前需要手動配置的“HT功能”和“VHT功能”(這是一個繁瑣且容易出錯的過程)現在已實現內部管理。系統會自動啟用設備支援的所有功能(例如MU-MIMO、寬頻道等),打造更穩定、更快速、更易於管理的無線網路。
在仍然使用 WPA2 甚至 WPA1 的環境中,IPFire 現在允許使用 身份驗證過程中的 SHA256 為了增強無法使用 WPA3 的客戶端的握手安全性。此外,SSID 保護預設為啟用:如果使用受保護的管理訊框 (802.11w),系統會自動啟用信標保護和運行通道驗證,從而阻止某些操縱網路訊號的攻擊。
為了提高空氣效率, 多播資料包轉換為單播資料包 當網路主要由現代高速客戶端組成時,這是預設值。此技術可減少傳統組播流量浪費的空中時間,並改善整體體驗,尤其是在密集網路中。如果硬體允許,雷達偵測(某些頻段的 DFS 需要此操作)將在後台執行,從而避免對 Wi-Fi 服務造成任何明顯的干擾。
儘管網頁介面形式沒有發生根本性變化,但大部分的最佳化工作都在後台進行,包括參數優化和硬體效能最大化。整合 IPFire 的 Lightning Wire Labs 裝置就是其中之一。 這些功能會自動啟動。因此,這些設備的使用者無需過多調整設定即可體驗到這些改進。
支援 LLDP 和 Cisco 發現協議
核心更新 200 原生整合了對以下功能的支援: 鏈結層發現協定 (LLDP) 和思科發現協定版本 2 (CDPv2)這些協定允許 IPFire 在直接連接的網段上「通告」和發現第 2 層設備,這在複雜的網路基礎架構中非常有用。
得益於LLDP/CDP,防火牆可以識別 它連接到交換器的哪些連接埠?反之,交換器和監控工具可以清楚地看到 IPFire 在網路拓樸圖上的位置。這可以與 Observium 等平台以及其他網路拓撲圖和監控系統無縫集成,從而簡化具有眾多 VLAN、幹線鏈路和分散式設備的大型環境的管理。
該功能已啟動並配置。 Web 介面,在「網路」→「LLDP」部分您可以在此處決定在哪些介面上啟用該協定、通告哪些資訊以及如何將資料與網路配置的其餘部分整合。
IPFire 2.29 核心更新 200 中的 DNS、PPP 和其他核心服務
IPFire基於Unbound的DNS代理程式也得到了重大升級。它不再以單線程模式運行, Unbound 現在會為每個 CPU 核心啟動一個執行緒這樣一來,您就可以利用如今常見的多核心處理器,並減少負載下的 DNS 回應時間,這在客戶端眾多或並發請求較多的環境中尤其明顯。
在 PPP 接取連線(例如某些 DSL、4G 或 5G 線路)中,IPFire 會調整 LCP 保活資料包的傳送方式。 僅在線路沒有實際流量時才發放。這項小小的改變可以略微減輕網路連線的負載,這對於資源有限或數據限制嚴格的行動網路連線來說尤其重要。
管理介面中的一個視覺細節已修復: DNS 頁面現在總是顯示圖例 表示元素,避免在解釋伺服器狀態、解析度或配置的工作模式時產生混淆。
網路代理和最近的安全
HTTP/HTTPS代理程式元件已進行了一些以安全性為中心的變更。 針對漏洞 CVE-2025-62168 的具體緩解措施 在代理配置中,加強與該 CVE 相關的攻擊模式的防護。這樣,IPFire 透明代理或認證代理的使用者無需手動修改設定檔即可受益於額外的安全措施。
一個 URL過濾過程中的競爭條件在某些情況下,編譯過濾資料庫的過程中可能會突然終止,導致暫時性故障或資料不一致。核心更新 200 中包含的修復程式可以更穩定地編譯列表,從而最大限度地降低更新期間過濾過程停止運行的風險。
Web介面和管理經驗
IPFire Web介面已進行多項可用性改進和錯誤修復。 [缺少部分名稱]中的問題已解決。 阻止建立新位置群組的防火牆,這是一個非常有用的功能,可以對國家或地區進行分組,並根據地理位置應用規則。
在硬體漏洞部分,當系統無法正常運作時會顯示以下訊息 支援SMT(同步多執行緒)向管理員解釋為什麼某些緩解措施或安全狀態會以某種方式出現。此外,電子郵件模組中的一個錯誤也已修復。 包含某些特殊字元的憑證 預存程序中可能會“損壞”,導致與外部郵件伺服器的身份驗證錯誤。
安全性更新:OpenSSL、glibc 等
就關鍵庫而言,OpenSSL 已更新為 版本3.6.1 多個漏洞已修復,包括CVE-2025-11187、CVE-2025-15467、CVE-2025-15468、CVE-2025-15469、CVE-2025-66199、CVE-202 5-68160、CVE-2025-69418、CVE-2025-69419、CVE-2025-69420、CVE-2025-69421、CVE-2026-22795和 CVE-2026-22796。這一系列 CVE 漏洞的修復顯示… 密碼加固工作負載 此版本已包含此內容。
glibc 標準函式庫也已針對幾個相關漏洞進行了修補: CVE-2026-0861、CVE-2026-0915 和 CVE-2025-15281由於它是整個系統的核心組件,因此保持其更新和修復對於減少攻擊面和確保應用程式受益於最新的修復程序至關重要。
核心軟體包和組件進行了重大更新
核心更新 200 帶來了大量更新的軟體包。其中最值得注意的是: Apache 2.4.66、bash 5.3p9、BIND 9.20.18、coreutils 9.9、cURL 8.18.0、dhcpcd 10.3.0、elinks 0.19.0、glib 2.87.0、GnuPG 2.4.9. 以及許多其他圖形和系統庫,例如 harfbuzz 12.3.0、hwdata 0.403、iana-etc 20251215、intel-microcode 20251111 或 libarchive 3.8.5。
它們也會更新。 libcap-ng 0.9、libgpg-error 1.58、libidn2 2.3.8、libjpeg 3.1.3、libpcap 1.10.6、libplist 2.7.0、libpng 1.6.53、libtasn1 4.21.0、li.1此外,還包括 LVM2 2.03.38 和 mdadm 4.5 等磁碟區和 RAID 管理工具。新版本包括 memtest (8.00)、meson (1.10.1)、newt (0.52.25)、ninja (1.13.2)、oath-toolkit (2.6.13)、Openpens (2.6.17)、OpenSSL (基礎堆疊中的 3.6.11345.16.16.1. (2025c)、readline (8.3p3)、strongSwan (6.0.4)、suricata (8.0.3)、suricata-reporter (0.6)、Rust (1.92.0)、Unbound (1.24.2)、wireless-regdb (1.92.0)、Unbound (1.24.2)、wireless-regdb (2025.10.07)。
至於插件,它們已經更新了。 alsa 1.2.15.3、ClamAV 1.5.1、dnsdist 2.0.2、fetchmail 6.6.0、gdb 17.1、Git 2.52.0、fort-validator 1.6.7、freeradius 3.2.8、libi1、F.10. 4.23.4、strace 6.18、tmux 3.6a、Tor 0.4.8.21 和 tshark 4.6.3綜合來看,此更新套件提供了安全改進、對新協定的支援、與現代硬體的兼容性以及遍布整個堆疊的錯誤修復。
特色插件:arpwatch、ffmpeg 等
IPFire 的附加功能中,以下幾點特別突出: arpwatch 作為一個新的插件此工具可監控網路上的 MAC 位址,並在出現可疑變更時發出警報(例如,當 IP 位址與不同的 MAC 位址關聯時)。此版本修正了電子郵件寄件者信封中的一個問題,該問題曾導致部分郵件伺服器拒絕郵件。現在,系統會發送正確的寄件者位址,並且 MAC 位址始終以零填充顯示,從而提高了報告的可讀性。
埃爾帕克特 ffmpeg 已更新至 8.0 版本 該插件套件已重新編譯並連結至 OpenSSL 和 LAME 庫,從而能夠恢復使用 HTTPS 和 MP3 編碼從外部來源傳輸串流媒體的功能。這使得 IPFire 可以作為多媒體解決方案的整合點,用於播放或轉送安全內容。
其他正在更新的配件包括 dnsdist 2.0.1、fetchmail 6.5.7、hostapd(最新版本 f747ae0)、libmpdclient 2.23、mpd 0.24.5、mympd 22.1.1、nano 8.7、openvmtools 13.0.5、Samba 4. 0.4.8.19、tshark 4.6.1 和 zabbix_agentd 7.0.21 LTS這些版本修復了錯誤,增加了對新功能的支持,並調整了與現代版本基礎庫的兼容性。
經過所有這些更改,IPFire 2.29 Core Update 200 已整合為一個 成熟、安全的防火牆平台,可相容於下一代硬體和標準從 WiFi 7 到最新的核心版本和加密組件,IPFire 相容於多種技術。對於那些已經依賴 IPFire 來保護家庭或企業網路的用戶來說,新版本在效能、網路視覺性和過濾功能方面都實現了顯著提升,並且擁有活躍的社群支援和持續改進的開發週期,不斷提升安全性和支援力度。
