IPFire

IPFire je operační systém s otevřeným zdrojovým kódem, který byl od začátku navržen tak, aby fungoval jako vyhrazený, bezpečný a flexibilní systém firewall založený na některých z nejlepších technologií Linux, jako jsou iptables, OpenSSL a OpenSSH.

Tento malý operační systém lze stáhnout z Softwaru nebo z oficiálních webových stránek (viz výše uvedený odkaz) jako jediný instalovatelný CD ISO obraz o velikosti přibližně 150 MB, který je označen pouze architekturou 32bitových (i586) instrukčních sad. Zatímco se distro spustí a nainstaluje na 64bitové hardwarové platformy, bude přijímat pouze 32bitové aplikace.

Krásně navržené a dobře organizované zaváděcí menu vám umožní přímou a trvalou instalaci distribuce na místní disk. Navíc budete moci nainstalovat operační systém v textovém režimu, provádět bezobslužnou instalaci, spustit diagnostický test paměti s nástrojem Memtest86 + a zobrazit detailní informace o hardwaru pomocí nástroje pro zjišťování hardwaru (HDT).

Velmi snadno použitelný instalační program pro textový režim

Celý proces instalace je založen na textu a bude vyžadovat, aby uživatel zvolil pouze jazyk (podporované jazyky zahrnují angličtinu, tureckou, polštinu, ruštinu, holandštinu, španělštinu, francouzštinu a němčinu), přijmout licenci a rozdělit disk (podporované souborové systémy zahrnují EXT2, EXT3, EXT4 a ReiserFS).

Po instalaci je nutné vybrat rozložení klávesnice a časové pásmo, zadejte název hostitele a název domény, zadejte heslo pro správce systému root (administrátora systému) a administrátora a konfigurujte síť ( zahrnuje nastavení DNS, brány, adresy IP, ovladače a síťové karty).

Shrnutí, IPFire je jedním z nejlepších distribucí firewall systému open source Linuxu, které jsou navrženy tak, aby poskytovaly nejmodernější bránu firewall, bránu VPN a komponenty proxy serveru. Jeho konstrukce je modulární a flexibilní, což znamená, že jeho funkce lze rozšířit pomocí pluginů.

Co je nového v této verzi:

• Proxy pouze pro RAM:
• V některých instalacích může být žádoucí nechat objekty mezipaměti proxy pouze v paměti a nikoli na disku. Zvláště pokud je připojení k internetu rychlé a ukládání je pomalé, je to nejužitečnější.
• Webové rozhraní UI nyní umožňuje nastavit velikost mezipaměti disku na nulu, která úplně vypne mezipaměť disku. Díky Danielovi pracoval na tom.
• OpenVPN 2.4:
• IPFire migroval na OpenVPN 2.4, který zavádí nové šifry třídy AES-GCM, což zvýší propustnost v systémech, které pro ni mají hardwarovou akceleraci. Aktualizace také přináší různé další menší vylepšení.
• Erik pracuje na integraci, což vyžadovalo nějakou práci pod kapotou, ale je kompatibilní s jakoukoliv předchozí konfigurací jak pro roadwarrior připojení, tak pro připojení typu net-to-net.
• Vylepšená kryptografie:
• Kryptografie je jedním ze základů bezpečného systému. Distribuci jsme aktualizovali, abychom použili nejnovější verzi kryptografické knihovny OpenSSL (verze 1.1.0). Toto přichází s řadou nových šifrů a byla provedena rozsáhlá rekonstrukce kódu.
• S touto změnou jsme se rozhodli zcela odmítnout SSLv3 a webové uživatelské rozhraní bude vyžadovat TLSv1.2, což je také výchozí pro mnoho dalších služeb. Konfigurovali jsme vytvrzený seznam šifrovacích klíčů, který používá pouze nedávné algoritmy a zcela odstraňuje zlomené nebo slabé algoritmy jako RC4, MD5 a tak dále.
• Zkontrolujte prosím před touto aktualizací, zda se spoléháte na některé z těchto programů a upgradujte své závislé systémy.
• Různé balíčky v souboru IPFire musely být opraveny, aby bylo možné používat novou knihovnu. Tato důležitá práce byla nezbytná k tomu, aby IPFire poskytla nejnovější kryptografii, migrovala pryč od zastaralých algoritmů a využila nové technologie. Například je k dispozici šifrovací modul ChaCha20-Poly1305, který je mobilní zařízení rychlejší.
• Stará verze knihovny OpenSSL (1.0.2) zůstává v systému stále z důvodů kompatibility a bude nám na krátkou chvíli udržována. Nakonec bude úplně odstraněno, proto prosím migrujte z OpenSSL 1.0.2 libovolné vlastní doplňky.
• Různé:
• Pakfire se nyní dozvěděl, které zrcadlové servery podporují protokol HTTPS, a automaticky se s nimi budou přes HTTPS kontaktovat. To zlepšuje soukromí.
• Také jsme zahájili první fázi našeho plánovaného převzetí klíčů Pakfire.
• V systému byl systém MTU Discovery zakázán. To neustále vytváří problémy se stabilitou tunelů IPsec, které si vybraly cesty přes sítě, které byly nesprávně nakonfigurovány.
• Šablona QoS by mohla chybně vypočítat šířku pásma, která byla nyní stanovena tak, aby součet zaručené šířky pásma ve všech třídách nepřekročil 100%.
• Aktualizované balíčky:
• Bind 9.11.3, curl 7.59.0, dmidecode 3.1, gnupg 1.4.22, hdparm 9.55, logrotate 3.14.0, Net-SSLeay 1.82, ntp 4.2.8p11, openssh 7.6p1, python-m2crypto 0.27.0, Bez závazků 1.7.0, vnstat 1.18
• Doplňky:
• Tyto doplňky byly aktualizovány: clamav 0.99.4, htop 2.1.0, krb5 1.15.2, ncat 7.60, nano 2.9.4, rsync 3.1.3, tor 0.3.2.10, wio 1.3.2 < li>

Co je nového ve verzi:

• OpenSSL 1.0.2n:
• V aplikaci OpenSSL 1.0.2n byla patchována jedna slabá a slabá bezpečnostní chyba zabezpečení. Oficiální bezpečnostní poradenství naleznete zde.
• IPsec:
• Je nyní možné definovat časový limit nečinnosti, když je zavřený nečinný IPsec VPN tunel
• Podpora pro skupiny MODP s podskupinami byla zrušena
• Komprese je nyní ve výchozím nastavení zakázána, protože vůbec není vůbec
• strongswan byl aktualizován na 5.6.1
• OpenVPN:
• Klientům OpenVPN Roadwarrior nyní je jednodušší směrovat k sítím IPsec VPN výběrem tras v konfiguraci každého klienta. To usnadňuje konfiguraci návrhů hub-and-spoke.
• Vytvořte řetězec nástrojů:
• Některé skripty pro sestavení byly upraveny pro vyčištění procesu sestavení a nástrojová lišta byla přesunuta z / tools na / tools_ & lt; arch & gt;.
• nasm, síťový assembler, byl aktualizován na 2.13.2
• Různé:
• V aplikaci Apache byla zakázána komprese SSL a vstupenky pro relaci SSL. Tím se zvýší zabezpečení uživatelského rozhraní webu.
• Na různých místech jsou k dispozici informace o GeoIP, kde jsou zobrazeny adresy IP a jsou užitečné informace
• Přidání statických cest přes webové uživatelské rozhraní bylo opraveno
• Některé estetické problémy na konfiguračních stránkách portletu byly opraveny a portál pro automatické propojení nyní pracuje společně s proxy v průhledném režimu
• Syslogging na odebraném serveru lze nyní nakonfigurovat tak, aby používal protokol TCP nebo UDP
• Doplňky:

Samba byla aktualizována, aby opravila několik problémů s bezpečností
• mc byl aktualizován na 4.8.20
• nano byl aktualizován na 2.9.1
• sslscan, vsftpd a libra byly zrušeny, protože nejsou udržovány proti proudu a nejsou kompatibilní s OpenSSL 1.1.0

Co je nového ve verzi 2.19 Core 116 / 3.0 Alpha 1:

• openssl 1.0.2m:
• Projekt OpenSSL vydal verzi 1.0.2m a minulý týden vydal dvě bezpečnostní upozornění. Obě zranitelná místa, která byla objevena, byly mírné a nízké bezpečnosti, ale my jsme se rozhodli tuto zprávu aktualizovat co nejdříve. Proto se doporučuje co nejdříve aktualizovat.
• Zhoršená zranitelnost označená jako CVE-2017-3736 řeší problém s moderními procesory Intel Broadwell a AMD Ryzen, kde OpenSSL používá některé moderní rozšíření DMI1, DMI2 a ADX a nesprávně vypočítává druhou kořenu. To by mohlo být využíváno útočníkem, který je schopen dát značné prostředky do obnovení soukromého klíče snadnější, protože tento útok je stále považován za prakticky nerealizovatelný týmem OpenSSL.
• Méně závažná chyba zabezpečení byla způsobena překročením údajů o certifikátech v případě, že certifikát má špatně formátovanou rozšíření IPAddressFamily. To by mohlo vést k chybnému zobrazení certifikátu v textovém formátu. Tato chyba zabezpečení je sledována pod CVE-2017-3735.
• Různé:
• Wget také trpěl dvěma bezpečnostními zranitelnostmi, které dovolily útočníkovi provést libovolný kód. Odkazují se na ně podle CVE-2017-13089 a CVE-2017-13090.
• Apache byl aktualizován na verzi 2.4.29, která opravuje řadu chyb.
• snort byl aktualizován na verzi 2.9.11.
• xz byl také aktualizován na verzi 5.2.3, která přináší různé vylepšení.

Co je nového ve verzi 2.19 Jádro 113 / 3.0 Alpha 1:

/ li>

Co je nového ve verzi 2.19 Core 112 / 3.0 Alpha 1:

• Tato základní aktualizace přichází s aktualizacemi pod kapotou. Knihovny základních systémů byly aktualizovány na nové hlavní verze a sestavení nástrojové řady získaly hlavní aktualizace.
• Jsou to:
• glibc 2.25
• Sbírka kompilátorů GNU 6.3.0
• binutils 2.29
• Python 2.7.13
• ccache 3.3.4, bc 1.07.1, cmake 3.8.1, flex 2.6.4, pojistka 2.9.7, podpora 1.64.0, gawk 4.1.4, gnutls 3.5.11, grep 2.27, libarchive 3.3.1 , libgcrypt 1.7.7, libgpg-chyba 1.27, libxml2 2.9.4, mdadm 4.0, openssl 1.0.2l, pkg-config 2.29.2, reiserfsprogs 3.6.25, SDL 1.2.15, squid 3.5.26, strongswan 5.5.3 , neviazané 1.6.3, util-linux 2.28.2
• Různé:
• openvpn (2.3.17) obdržel některé aktualizace zabezpečení, které byly nedávno objeveny.
• Byla uzavřena chyba zabezpečení v nástroji ids.cgi se vzdáleným příkazem, které by mohly být použity ověřenými uživateli ke spouštění příkazů shellu s právy, které nejsou superuser.
• Nyní je možné vytvářet sítě v bráně firewall, které jsou podsítem některé z interních zón.
• Vyčistěte a vylepšujte také řetězec nástrojů a sestavení skriptů
• IPFire netboot byl aktualizován tak, aby byla vždy použita nejlepší architektura pro systém (tj. 64bitová verze je nainstalována, když jej systém podporuje).
• Doplňky:
• Aktualizováno:
• 7zip 16.02
• pták 1.6.3
• cyrus-imapd 2.5.11
• iperf 2.0.9
• directfb 1.7.7
• freeradius 3.0.14
• monitor 5.23.0
• miniupnpd nyní poslouchá ve verzi ZELENÁ
• tmux 2.5
• 3.0.8
• Odstraněno:
• imspector a tcpick nejsou nadále udržovány proti směru

Co je nového ve verzi 2.19 Jádro 111 / 3.0 Alpha 1:

• Ověřování Enterprise WPA v režimu Klient:
• Brána firewall se nyní může ověřit pomocí bezdrátové sítě, která používá protokol EAP (Extensible Authentication Protocol). Ty se běžně používají v podnicích a vyžadují uživatelské jméno a heslo k připojení k síti.
• IPFire podporuje protokoly PEAP a TTLS, které jsou dvěma nejběžnějšími. Mohou být nalezeny v konfiguraci na stránce "Klient WiFi", který se zobrazí pouze v případě, že rozhraní RED je bezdrátové zařízení. Tato stránka také zobrazuje stav a protokoly použité pro vytvoření spojení.
• Indexová stránka také zobrazuje různé informace o stavu, šířce pásma a kvalitě připojení k bezdrátové síti. To také funguje pro bezdrátové sítě používající WPA / WPA2-PSK nebo WEP.
• Vícenásobné řízení QoS:
• Kvalita služby nyní využívá všechny jádra CPU k vyvážení provozu. Předtím bylo použito pouze jedno procesorové jádro, které způsobilo pomalejší připojení k systémům se slabšími procesory, jako je řada Intel Atom atd., Ale rychlé ethernetové adaptéry. To se nyní změnilo tak, že jeden procesor už není víc.
• Nové výchozí hodnoty kryptátu:
• V mnoha částech kryptografických algoritmů IPFire hrají obrovskou roli. Stárnou však. Proto jsme změnili výchozí nastavení na nové systémy a nové připojení VPN na něco, co je novější a považuje se za robustnější.
• IPsec:
• Nejnovější verze silSwan podporuje návrh Curve 25519 pro návrhy IKE a ESP, který je nyní k dispozici i v protokolu IPFire a je nyní ve výchozím nastavení povolen.
• Výchozí návrh nových připojení nyní umožňuje pouze explicitně vybrané algoritmy, které maximalizují zabezpečení, ale mohou mít vliv na kompatibilitu starších rodičů: SHA1 je vyřazen, musí být použit SHA2 256 nebo vyšší; typ skupiny musí používat klíč o délce 2048 bitů nebo větší
• Jelikož někteří lidé používají IPFire ve spojení se starými zařízeními, je nyní povoleno vybrat MODP-768 v návrzích IKE a ESP. Toto je považováno za rozbité a označené tak.
• OpenVPN:
• OpenVPN ve výchozím nastavení používal SHA1 pro integritu, který byl nyní změněn na SHA512 pro nové instalace. Bohužel OpenVPN nemůže vyjednávat přes toto spojení. Takže pokud chcete použít SHA512 na stávajícím systému, budete muset znovu stáhnout všechna klientská připojení.
• Byly přidány různé značky, které zdůrazňují, že určité algoritmy (například MD5 a SHA1) jsou považovány za zlomené nebo kryptograficky slabé.
• Různé:
• VPN sítě IPsec budou zobrazeny jako "Připojovací", pokud nejsou zřízeny, ale systém se pokouší
• Byla opravena chyba vypnutí, která zpožďovala vypnutí systému, když bylo rozhraní RED nakonfigurováno jako statické
• Stav DNSSEC je nyní zobrazen správně ve všech systémech
• Následující balíčky byly aktualizovány: acpid 2.0.28, bind 9.11.1, coreutils 8.27, cpio 2.12, dbus 1.11.12, soubor 5.30, gcc 4.9.4, gdbm 1.13, gmp 6.1.2, gzip 1.8, logroatch 3.12.1, logwatch 7.4.3, m4 1.4.18, mpfr 3.1.5, openssl 1.0.2l (pouze opravy chyb), openvpn 2.3.16, který opravuje CVE-2017-7479 a CVE-2017-7478, pcre 8.40 , pkg-config 0.29.1, rrdtool 1.6.0, strongswan 5.5.2, bez závazků 1.6.2, unzip 60, vnstat 1.17
• Matthias Fischer přispěl některými kosmetickými změnami do oddílu protokolu firewallu
• Gabriel Rolland zlepšil italský překlad
• Byly vyčištěny různé části systému sestavení
• Doplňky:
• Nové doplňky:
• ltrace: Nástroj pro sledování knihovních volání binární
• Aktualizované doplňky:
• Samba addon byl zpoplatněn kvůli chybě zabezpečení (CVE-2017-7494), která umožnila vzdálený kód spouštět na zapisovatelných akcích.
• ipset 6.32
• libvirt 3.1.0 + python3-libvirt 3.6.1
• git 2.12.1
• nano 2.8.1
• netsnmpd, který nyní podporuje snímače teploty pomocí senzorů lm_sensors
• nmap 7.40
• 0.3.0.7

Co je nového ve verzi 2.19 Core 109 / 3.0 Alpha 1:

• Opravy DNS:
• Proxy DNS, který pracuje uvnitř IPFire, byl aktualizován na unbound 1.6.0, který přináší různé opravy chyb. Proto byla znovu aktivována minimalizace QDA a kalení pod doménami NX.
• V době zahájení IPFire nyní také zkontroluje, zda směrovač před IPFirem odkrývá odpovědi DNS, které jsou delší než určitá prahová hodnota (některé zařízení Cisco to dělají jako "tvrdší" DNS). Pokud je tato hodnota detekována, velikost vyrovnávací paměti EDNS, je-li snížena, což činí nevázaný, klesá zpět na TCP pro větší odezvy. To může zpomalit službu DNS mírně, ale přesto zůstává funkční v těch chybně nakonfigurovaných prostředích.
• Různé:
• openssl byl aktualizován na 1.0.2k, který opravuje řadu bezpečnostních chyb zabezpečení s "středně závažnou" závažností
• Jádro nyní podporuje některé novější moduly eMMC
• Zálohovací skript nyní pracuje spolehlivěji ve všech architekturách
• Síťové skripty, které vytvořily mosty MACVTAP pro virtualizaci, mimo jiné nyní podporují také standardní 802.3 mosty
• Grafické uživatelské rozhraní brány firewall zakázalo vytváření podsítí, které byly podsítem libovolné standardní sítě, která byla opravena
• Matthias Fischer předložil balíčky pro: bind 9.11.0-P2 s některými bezpečnostními opravami, libpcap 1.8.1, logrotate 3.9.1, perl-GeoIP modul 1.25, snort 2.9.9.0, squid 3.5.24 opravuje různé chyby, sysklogd 1.5.1, zlib 1.2.11
• Dále byla knihovna libpng aktualizována na 1.2.57, která opravuje některé chyby zabezpečení
• Doplňky:
• Jonatan Schlag zabalil Python 3 pro IPFire
• Rovněž aktualizoval libvirt na verzi 2.5 a qemu na verzi 2.8
• Matthias Fischer předložil řadu aktualizací pro následující balíčky: nano 2.7.2, tcpdump 4.8.1, tmux 2.3
• byl aktualizován na 0.2.9.9, který opravuje několik zranitelných míst odmítnutí služby
• sarg byl aktualizován na 2.3.10

Co je nového ve verzi 2.19 Core 108 / 3.0 Alpha 1:

• Asynchronní protokolování:
• Asynchronní protokolování je nyní ve výchozím nastavení povoleno a již není konfigurovatelné. To způsobilo, že některé programy, které napsaly rozsáhlé množství protokolových zpráv zpomalují a mohou v síti nereagovat, což způsobuje různé problémy. To bylo vidět na systémech s velmi pomalými flash médii a virtuálními prostředími.
• Různé:
• Kontrola, že testuje servery DNS pro případné nesprávné konfigurace, předpokládalo, že některé ověřovací servery jsou identické, i když nebyly a velmi pravděpodobně vůbec nefungují. To bylo opraveno a systémy používající tyto poškozené jmenné servery by se měly vrátit zpět do režimu rekurzoru.
• Byl opraven problém s grafickým uživatelským rozhraním brány firewall, který zakázal přidávání připojení IPsec VPN a spojení OpenVPN se stejným názvem do skupiny firewall.
• Aktualizované balíčky jader:
• strongswan byl aktualizován na verzi 5.5.1, která opravuje různé chyby
• ntp byl aktualizován na verzi 4.2.8p9, která opravuje různé problémy zabezpečení
• ddns byl aktualizován na verzi 008
• Aktualizované doplňky:
• nano, textový editor byl aktualizován na verzi 2.7.1
• , síť anonymity byla aktualizována na verzi 0.2.8.10

Co je nového ve verzi 2.19 Core 107 / 3.0 Alpha 1:

• Tato aktualizace zakomponuje jádro IPFire Linuxu proti nedávno zveřejněné chybě zabezpečení nazvané Dirty COW. Jedná se o chybu eskalace lokálních oprávnění, kterou by mohl lokální útočník použít k získání oprávnění root.
• Další oprava opravuje procesory Intel s AES-NI, což je hardware podporující šifrování s délkou 256 a 192 bitových klíčů, ale nebylo správně implementováno v jádře Linuxu
• Oprava pro zobrazení nového neviazaného serveru proxy DNS v části protokolu webového uživatelského rozhraní
• hdparm 9.5.0 a libjpeg 1.5.1 byly aktualizovány

Co je nového ve verzi 2.19 Core 105 / 3.0 Alpha 1:

• IPFire 2.19 Core Update 105 opravuje řadu bezpečnostních problémů ve dvou kryptografických knihovnách: openssl a libgcrypt. Doporučujeme tuto instalaci co nejdříve nainstalovat a restartovat systém IPFire k dokončení aktualizace.

Co je nového ve verzi 2.19 Core 103 / 3.0 Alpha 1:

• Vylepšení webového serveru:
• Webová proxy squid byla aktualizována na sérii 3.5 a byla provedena různá zlepšení stability a výkonu.
• Na počítačích s pomalými pevnými disky nebo na instalacích s velkými mezipaměti se pravděpodobně stalo, že index vyrovnávací paměti byl po vypnutí serveru proxy poškozen. Výsledkem je nestabilní webový proxy po dalším spuštění.
• Rutina vypnutí byla vylepšena, takže korupce indexu vyrovnávací paměti je nyní velmi nepravděpodobné. Dále máme nainstalované prostředky, které nám umožňují zjistit, zda byl index vyrovnávací paměti poškozen, a pokud ano, automaticky jej znovu nabudou při dalším spuštění. Tato aktualizace odstraní pravděpodobně poškozený index všech instalací a zahájí opětovné sestavení indexu, což může vést k pomalému spuštění serveru proxy krátce po instalaci aktualizace.
• Různé:
• Opravte příkaz setup pro správné zobrazení více než 6 síťových řadičů
• Databáze časových pásem byla aktualizována
• Obecně povolte podtržítky v názvech domén
• Aktualizované balíčky: coreutils 8.25, curl 7.48.0, dnsmasq 2.76, findutils 4.6.0, grep 2.24, méně 481, ncurses 6.0, procps 3.2.8, sdparm 1.10, wpa_supplicant 2.5
• Aktualizované doplňky:
• 7zip 15.14.1
• clamav 0.99.2
• hostapd 2.5
• Midnight Commander 4.8.17
• nfs (nahrazuje portmap s rpcbind)
• 0.2.7.6

Co je nového ve verzi 2.19 Core 102 / 3.0 Alpha 1:

Co je nového ve verzi 2.19 Core 100 / 3.0 Alpha 1:

• Tato aktualizace vám přinese IPFire 2.19, který jsme poprvé uveřejnili na 64bitovém disku Intel (x86_64). Toto vydání bylo zpožděno různými bezpečnostními zranitelnostmi v openssl a glibc, ale je vybaveno mnoha vylepšeními pod kapotou a různými opravami chyb.
• 64 bit:
• Nebude existovat žádná automatická aktualizace z 32bitové instalace do 64bitové instalace. Je nutné manuálně přeinstalovat systém pro ty, kteří chtějí změnit, ale dříve vytvořená záloha může být obnovena, takže celý postup trvá obvykle méně než půl hodiny.
• Neexistuje příliš mnoho výhod oproti 64 bitovým verzím, s výjimkou některých nepatrných zvýšení výkonu pro některé případy použití a samozřejmě schopnost řešit více paměti. IPFire je schopen řešit až 64 GB RAM na 32 bitů, takže není příliš nutné migrovat. Doporučujeme použít 64bitové obrázky pro nové instalace a držet se stávajících instalací tak, jak jsou.
• Aktualizace jádra:
• Stejně jako u všech hlavních verzí, tato verze obsahuje aktualizované jádro Linuxu, které opravuje chyby a zlepšuje kompatibilitu hardwaru. Linux 3.14.65 s mnoha podporovanými ovladači z platformy Linux 4.2 je také silně silnější proti běžným útokům, jako je přetečení vyrovnávací paměti.
• Mnoho firmware blobs pro bezdrátové karty a další komponenty bylo aktualizováno stejně jako hardwarová databáze.
• Hyper-V problémy s výkonem:
• Záloha poslední verze modulu ovladače sítě Microsoft Hyper-V umožní opětovné přenos dat při vyšších rychlostech. Předchozí verze měly na některých verzích Hyper-V jen velmi špatnou propustnost.
• Aktualizace firewallu:
• Nyní je možné povolit nebo zakázat určité moduly pro sledování připojení. Tyto moduly brány aplikační vrstvy (ALG) pomáhají určitým protokolům jako SIP nebo FTP pracovat s NAT. Některé VoIP telefony nebo pobočkové ústředny mají s těmito problémy problémy, které mohou být nyní zakázány. Někteří potřebují.
• Brána firewall byla také optimalizována tak, aby umožňovala větší propustnost s použitím o něco méně systémových prostředků.
• Různé:
• Byla aktualizována řada programů a nástrojů použité nástroje. Nová verze GNU Compiler Collections nabízí efektivnější kód, silnější kalení a kompatibilitu pro C ++ 11
• GCC 4.9.3, binutils 2.24, bizona 3.0.4, grep 2.22, m4 1.4.17, sed 4.2.2, xz 5.2.2
• dnsmasq byl aktualizován interní DNS proxy IPFire a byly opraveny mnohé problémy s nestabilitou
• openvpn byl aktualizován na verzi 2.3.7 a generované konfigurační soubory byly aktualizovány tak, aby byly kompatibilní s nadcházejícími verzemi OpenVPN
• IPFire nyní počká při spuštění, když je čas potřebný k synchronizaci a DHCP se používá, dokud se spojení nezavede a pak bude pokračovat v bootování
• Bind byl aktualizován na verzi 9.10.3-P2
• ntp byl aktualizován na verzi 4.2.8p5
• tzdata, databáze pro definice časových pásem, byla aktualizována na verzi 2016b
• Na uživatelském rozhraní webu byly provedeny různé opravy kosmetických přípravků
• Byla opravena chyba způsobující zařízení VLAN, která nebyla vytvořena, když se objeví nadřazený NIC
• DHCP klient: Resetování MTU na poškozené NIC, které ztratí odkaz, bylo opraveno
• Ramdisk pro ukládání databází grafů zobrazených v uživatelském rozhraní webu se nyní ve výchozím nastavení používá ve výchozím nastavení pro instalace, které používají blesk, pokud je k dispozici více než 400MB paměti
• Byla opravena chyba, že kvalita služby nebyla zastavena
• Některý starý kód byl zrekonstruován a některé nepoužité kódy byly vynechány v některých interních složkách IPFire
• Doplňky:
• vlastní cloud byl aktualizován na verzi 7.0.11
• nano byl aktualizován na verzi 2.5.1
• rsync byl aktualizován na verzi 3.1.2

Co je nového ve verzi 2.17 Core 98 / 3.0 Alpha 1:

• V důsledku nedávno zjištěné chyby zabezpečení v glibc uvolňujeme tuto základní aktualizaci, která obsahuje opravu pro CVE-2015-7547.
• Rozhraní getaddrinfo () je glibc, hlavní knihovna C systému, slouží k vyřešení názvů adres IP pomocí služby DNS. Útočník může proces v systému provádět tento požadavek zasláním padělané odpovědi, která je příliš dlouhá, což způsobuje přetečení zásobníku vyrovnávací paměti. Kód může být potenciálně vstřikován a spuštěn.
• Tato chyba zabezpečení však přímo nepoužívá protokol IPFire, protože používá proxy DNS, který odmítá odpovědi DNS, které jsou příliš dlouhé. Takže samotný systém IPFire a všechny systémy v síti, které používají protokol IPFire jako DNS proxy, jsou chráněny serverem DNS. Rozhodli jsme se však, že tuto chybu zabezpečení vymažeme co nejrychleji.

Co je nového ve verzi 2.17 Core 94 / 3.0 Alpha 1:

• OpenSSH:
• OpenSSH byl aktualizován na verzi 7.1p1. Tím jsme přidali podporu pro eliptické křivky (ECDSA a ED25519) a odstranili podporu pro DSA, která je považována za rozbitou. Příliš malé RSA klíče jsou také odstraněny a regenerovány. Tyto změny mohou vyžadovat opětovné importování klíče systému IPFire v počítači admin.
• Agent interní pošty
• Byla přidána interní zásilka, kterou používají interní služby k odesílání zpráv nebo výstrah. Doposud to využívá jen několik služeb (jako je účtovací kalkulačka), ale očekáváme, že do budoucna přidáme další věci.
• Jedná se o velmi jednoduchý a lehký poštovní agent, který může být nakonfigurován na webovém uživatelském rozhraní a bude obvykle vyžadovat poštovní server upstream.
• IPsec MOBIKE:
• Bylo přidáno nové políčko na stránce rozšířených nastavení připojení IPsec. Umožňuje vynutit použití technologie MOBIKE, technologie pro protokol IPsec, která lépe překonává protokol NAT. Někdy, když se nacházejí za chybnými směrovači, mohou být vytvořena připojení IPsec, ale žádná data nemohou být přenášena a spojení se přeruší velmi rychle (některé směrovače mají potíže s přenosem DPD paketů). MOBIKE tuto skutečnost obchází pomocí protokolu UDP 4500 pro zprávy IKE.
• Různé:
• Požadovaná pole jsou nyní označena hvězdičkou. Dříve to bylo naopak, takže volitelná pole označená hvězdičkou, která se nikde jinde na webu nevyskytuje.
• Měsíční nucená aktualizace ddns je odstraněna, protože ddns se stará o to, aby všechny záznamy byly aktuální a obnovovaly je po uplynutí 30 dní.
• fireinfo: Některé havárie byly opraveny ID, které obsahují pouze 0xff
• Aktualizované balíčky:
• vázat 9.10.2-P4, coreutils 8.24, dnsmasq dostal poslední importované změny, soubor 5.24, glibc (bezpečnostní opravy), hdparm 9.48, iproute2 4.2.0, libgcrypt 1.6.4, libgpg-error 1.20, pro více přetečení vyrovnávací paměti), rrdtool 1.5.4, chobotnice 3.4.14

Co je nového ve verzi 2.17 Core 93 / 3.0 Alpha 1:

• Aktualizace klienta DDNS:
• ddns, náš dynamický klient pro aktualizaci DNS, byl aktualizován na verzi 008. Tato verze je robustnější proti chybám v síti na chybě cesty a serveru v poskytovateli. Aktualizace budou často opakovány.
• Podporovatelé joker.com a DNSmadeEasy jsou nyní podporováni
• Byla opravena chyba při aktualizaci jmenných záznamů
• Různé:
• Pakfire byl opraven a nyní správně vytahuje další závislosti doplňkových balíků při aktualizaci ze starší verze.
• Některé jednotky SSD se známou chybou firmwaru, která způsobují ztrátu dat, jsou zakázány.
• Kalkulačka: Opravte různé překlepy v překladech
• /etc/ipsec.user-post.conf je přidán do zálohy, pokud existuje
• Aktualizované balíčky:
• vázat 9.10.2-P3, daq 2.0.6, dnsmasq 2.75, libevent 2.0.22-stable (přesunut do jádrového systému z add-on), libpcap 1.7.4, nettle 3.1.1, pcre -2015-5073), chobotnice 3.4.14
• Doplňky:
• šálky 2.0.4, značka 4.1, nano 2.4.2