IPFire 2.29 核心更新 199 引入了對 WiFi 7 和 WiFi 6 的高級支援集成,以及對 LLDP/CDP 的支援。

  • 整合對 WiFi 7 和 WiFi 6 的高級支持,以及 LLDP/CDP,從而提高無線性能和網路可見性。
  • 核心更新至 Linux 6.12.58,IPS 修訂版採用 Suricata 8.0.2 和 suricata-reporter 0.5,增強了穩定性和安全性。
  • 對 OpenVPN Roadwarrior、代理和 Web UI 進行了改進,修復了錯誤,優化了安全性,並簡化了日常管理。
  • 對基礎軟體包和附加元件進行了廣泛更新,包括 ffmpeg 8.0、ClamAV 1.5.1、Samba 4.23.2 和 zabbix_agentd 7.0.21 (LTS)。
Pablinux

12 Minutos

IPFire 2.29核心更新199

IPFire 2.29核心更新199 它帶來了深刻的改變。 這些更新幾乎影響到系統的每一層:從下一代無線支援到強化的核心安全,包括對 VPN、代理、Web 介面以及眾多軟體包的改進。此版本最初是作為測試版本發布,旨在滿足企業和高級家庭用戶等高要求環境的需求。

在本指南中,我們將逐步講解 所有技術和功能創新 本更新包括:支援 WiFi 7 和 WiFi 6、原生整合 LLDP/CDP、全新核心、入侵防禦系統改進、OpenVPN 優化、代理優化、介面細微調整、插件更新,以及背後大量的開發工作。如果您在生產環境中使用 IPFire,那麼了解此更新的具體內容及其優勢至關重要。

IPFire 2.29 Core Update 199 在無線網路方面實現了飛躍:支援 WiFi 7 和 WiFi 6。

這版本的一大亮點是… IPFire 直接相容於 WiFi 7 和 WiFi 6 接入點在此之前,部分硬體已經可以正常運作,但這些標準的先進功能並未充分利用。透過核心更新 199,系統現在可以充分利用這些高級特性,從而實現更高的速度和更低的延遲。

現在可以簡單地指出 介面中首選的 WiFi 模式其餘配置工作由 IPFire 處理。除了現有的 802.11ac/agn 標準外,還新增了 802.11be (WiFi 7) 和 802.11ax (WiFi 6) 標準,並支援高達 320 MHz 的頻道寬度。這意味著頻寬將大幅提升:雙空間流模式下超過 5,7 Gbps,四空間流模式下約 11,5 Gbps,全程無線傳輸。

另一個重要的變化是 IPFire會自動偵測WiFi硬體的功能 它無需用戶費力調整晦澀難懂的設定即可啟動支援的功能。以前,配置「HT 功能」和「VHT 功能」需要手動完成,這既容易出錯又浪費時間。現在,系統會自動安全地啟用無線網卡支援的所有功能,從而帶來更穩定、更快速的網路。

關於無線安全,引入了以下選項: 加強仍使用 WPA2 或 WPA1 的網絡當有客戶端無法使用 WPA3 時,IPFire 允許在身份驗證期間使用 SHA256,從而增強握手,而無需強制放棄這些舊協議,這在許多混合設備園區中仍然是必要的。

本次更新為標準配置。 透過 MFP 啟用 SSID 保護 (管理幀保護,802.11w)在可用時啟用。在這種情況下,系統會自動啟用信標保護和工作頻道驗證,從而阻止基於偽造管理訊框的攻擊,並提高網路抵禦惡意幹擾的穩健性。

為了優化頻譜使用,IPFire 整合了一種機制,該機制 預設將多播流量轉換為單播流量。 當大多數客戶端都是現代化且速度很快的設備時,這一點尤其有用。它可以釋放頻道資源並減少衝突,這對於消耗大量音訊視訊服務或廣播流量的密集網路尤其重要。

如果硬體允許,就可以做到。 背景雷達偵測這對於DFS頻道的正常運作以及遵守與雷達業務共享頻段的相關法規至關重要。所有這些都已無縫整合到介面中,介面本身基本上保持不變,因為實際工作都在後台完成。

Lightning Wire Labs 的產品,專為 IPFire 設計, 這些進階WiFi功能將自動啟動。這意味著這些設備的使用者從一開始就能充分利用新型無線電池。

使用 LLDP 和 Cisco 發現協定進行網路發現

在複雜的環境中,準確了解情況至關重要。 每個防火牆介面分別連接到什麼? 它對診斷和文件記錄至關重要。透過核心更新 199,IPFire 整合了對 LLDP(鏈路層發現協定)和 CDPv2(思科發現協定)的原生支持,這兩種協定廣泛應用於管理型交換器和專業網路設備。

由於這種集成,防火牆可以 自動識別連接到每個實體連接埠的設備 並確定每個介面連接到哪個交換器連接埠。這大大簡化了處理裝滿設備、VLAN、中繼和聚合的機架時的操作,並且可以與 Observium 等監控和映射工具無縫整合。

各項功能均可透過網頁介面選單輕鬆管理。 服務 → LLDP使用者可以根據需要啟用、停用 IPFire,或調整其參數。這樣,IPFire 就成為網路拓撲中一個更顯眼、更全面整合的元件。

IPFire 2.29 核心更新 199 中更新了核心並提升了效能

這次核心更新的另一個關鍵組成部分是: IPFire核心更新至Linux分支6.12.58此次版本升級帶來了許多安全性和穩定性方面的修復,以及效能方面的改進,在現代硬體和高負載工作負載下尤其明顯。

某些事項已進行審查。 與調度調試和並發相關的配置設置 (搶佔式調試)。禁用或微調生產環境中不需要的某些偵錯參數,可顯著提高許多系統的效能,降低延遲,並改善負載下的防火牆回應時間。

加強入侵防禦系統(IPS)

IPFire IPS 的核心, Suricata 已更新至 8.0.2 版本。這項變更不僅為流量分析引擎帶來了內部改進,也為新的規則和偵測功能打開了大門,使系統能夠應對當前的威脅。

IPS報告功能也收到了 由於 SQLite 資料庫出現問題,需要進行重大調整。 本系統內部使用。當系統繁忙時,可能會遺漏一些警報。此問題已在 suricata-reporter 軟體包 0.5 版本中解決,該版本可確保警報可靠地記錄和報告。

此外,IPS報告現在將包含 固定送貨時間為凌晨 1 點。這項小小的改變回應了多位管理員的要求,他們需要在早上第一時間準備好報告,以便在工作日開始前對安全狀況進行每日審查。

IPFire 2.29 核心更新 199 中針對漫遊用戶端的 OpenVPN 改進

OpenVPN Roadwarrior 模組也收到了一個小型但功能強大的軟體包。 針對遠端存取環境進行了重大最佳化首先,如果伺服器仍然使用被認為是過時的密碼,介面會突出顯示這些密碼,以引起管理員的注意,並鼓勵他們計劃遷移到更強大的演算法。

可能性 向客戶端推送多個 DNS 和 WINS 伺服器這在擁有多個網域、內部解析器或混合環境的企業網路中非常有用。它極大地簡化了配置,無需在客戶端進行任何變通操作或編寫額外的腳本。

OpenVPN伺服器現在可以正常運作了。 始終處於多家庭模式這更符合 IPFire 的實際情況,IPFire 通常部署在多個網路介面上。透過此設置,無論連接來自內部網路還是外部網絡,伺服器始終使用客戶端連接的相同 IP 位址進行回應,從而避免在多路由場景下出現意外行為。

一個漏洞也已修復。 阻止了第一個自訂路由的正確推送。 即使其他配置都正確無誤,此漏洞也可能導致某些網路無法透過隧道存取。修復此漏洞後,自訂路由現在可以按預期分發。

關於身份驗證,該元件負責驗證使用者身份。 它能更好地處理一次性密碼(OTP)流程。當客戶端在兩步驟身份驗證過程中感到「困惑」時,伺服器會額外努力引導他們並正確完成登錄,從而減少因最終用戶誤解而導致的事件。

最後,它被移除。 客戶端設定檔中的 auth-nocache 指令由於它在這種情況下無效。刪除它既簡化了文件,又不會對部署的實際安全性產生負面影響。

代理:IPFire 2.29 核心更新 199 安全性和穩定性緩解措施

IPFire的代理也受益於旨在實現以下目標的變更: 降低安全風險並優化比賽規則首先,針對已識別為 CVE-2025-62168 的漏洞,採取了特定的緩解措施,加強了配置以防止可能的利用。

另一方面,這個問題已經解決了。 可能導致 URL 過濾進程被強制終止的競態條件 在資料庫編譯過程中,某些情況下會導致服務偶爾崩潰或篩選功能遺失,直到服務重新啟動後才能恢復。內建的修復程式可以確保清單編譯過程不間斷。

對網頁介面進行了一些雖小但意義重大的改進

網站管理介面進行了一些改進,雖然這些改進並不顯著, 它們明顯提高了日常可用性防火牆模組修復了一個阻止創建新位置組的錯誤,該錯誤對於管理基於國家或地區的規則來說是一個非常有用的功能。

在專門介紹硬體漏洞的章節中, 當系統不支援 SMT 時,現在會顯示更清晰的訊息。 (同步多執行緒)。管理員不再被令人困惑的消息所困擾,而是能更了解 CPU 使用情況及其對某些緩解措施的影響。

郵件模組會調整其中所包含的憑證的處理方式。 精細特殊字符這樣可以防止資料在保存過程中損壞或「遺失」。這減少了設定通知和其他依賴 SMTP 驗證的服務時出現的問題。

一般變更和系統更新包

除了具體功能外,本次更新還包括 對系統進行了根本性修改,並更新了大量軟體包。首先,D-Bus守護程式現在預設在IPFire中運行,為未來依賴此內部訊息傳遞基礎架構的功能鋪平了道路。

initramfs 建置系統也在不斷發展: dracut 被 dracut-ng 取代由於原始項目已被 Red Hat 放棄,這項改變確保了積極的維護,並為啟動和恢復過程奠定了更堅實的基礎。

在新增的實用功能中,包括: dma,一個用於產生本地郵箱的工具 並以輕量級的方式管理電子郵件,這在不需要大型 MTA 但需要一些內部交付功能的系統中尤其有用。

加密協定堆疊也進行了調整,以使 IPFire 符合當前建議: SSH 密碼套件與上游同步 並且優先使用 AES-GCM 而不是 AES-CTR,預設情況下更傾向於使用更強大的認證模式。

也已更正 防火牆規則執行中的競態條件在先前的系統中,如果同時插入一條新規則,原有的規則可能會失效。而新系統則能確保即使政策頻繁變動,規則仍能保持一致。

其他變化

關於核心軟體包目錄,Core Update 199 更新了大量基礎元件。其中包括(但不限於): coreutils 9.8、c-ares 1.34.5(已修正 CVE-2025-31498 漏洞)、cURL 8.17.0 和 BIND 9.20.16系統實用程式和名稱解析的基本支柱。

關鍵庫和工具也在進行升級,例如 boost 1.89.0、btrfs-progs 6.17.1、elfutils 0.194、expat 2.7.3(修正了 CVE-2025-59375 和 CVE-2024-8176 漏洞)、fmt 12.1.0、FU 3.增強相容性和安全性。

已包含更新。 harfbuzz 12.1.0、hwdata 0.400、iana-etc 20251030、iproute2 6.17.0、kbd 2.9.0、less 685、libarchive 3.8.2、libcap 2.77、liblibg-error 1.56、lib21.56、lib212156、lib21.56、它們都是系統管理、控制台、儲存和資料解析的關鍵元件。

該套建築和開發工具也在進行更新。 nasm 3.00、ninja 1.13.1、protobuf 33.0 和 Rust 1.85.0同時,由於 SQLite 3.51.0、Suricata 8.0.2、suricata-reporter 0.5、strongSwan 6.0.3、unbound 1.24.1 等,嵌入式資料庫和各種網路服務都得到了改進。

更新包由各種系統和管理實用程式完成,例如 sysvinit 3.14、udev 258、util-linux 2.41.2、vim 9.1.1854、whois 5.6.5、usbutils 019 和 xfsprogs 6.17.0除了程式碼中多次「程式碼清理」之外,還提高了程式碼的可維護性並減少了技術債。

附加元件:新增功能和更新版本

IPFire插件生態系統也在更新,並納入了 多個外掛程式的修正與新增功能備受關注的工具之一是 arpwatch,它旨在監控網路上 MAC 位址的變化。

一個阻止arpwatch運作的錯誤 請在通知郵件中發送正確的寄件者姓名。這導致部分伺服器拒絕接收這些郵件。此外,MAC 位址現在始終以零填充顯示,使其更易於閱讀並避免混淆。

ffmpeg 外掛程式已更新至 8.0 版本新增了與 OpenSSL 和 lame 函式庫的連結。正因如此,IPFire 可以再次毫無問題地處理來自外部來源的 HTTPS 和 mp3 編碼流,恢復了一些管理員所懷念的串流功能。

除了這些更改之外,插件中的許多其他軟體包也進行了更新,例如: ClamAV 1.5.1、dnsdist 2.0.1、fetchmail 6.5.7、hostapd f747ae0、libmpdclient 2.23、mpd 0.24.5 與 mympd 22.1.1改善防毒功能、進階 DNS、電子郵件、多媒體服務和存取點管理。

這一版本的規模清楚地表明,IPFire 仍在繼續押注於此。 擴展網路功能,加強安全性,並不斷完善管理體驗從新一代 WiFi 和透過 LLDP/CDP 改進的可見性,到現代化的核心、更可靠的 IPS、OpenVPN 的改進、增強的代理、小的介面修復、更新的軟體包庫和擴展的插件,所有這些都結合在一起,提供了一個更快、更安全的系統,可以應對複雜的場景,並且始終得到社區和團隊的支持,而社區和團隊的步伐需要支持。