到货 de IPFire 2.29 – 核心更新 200 这标志着这款开源防火墙和路由器发行版发展历程中的一个转折点。此次重大更新引入了现代内核,增强了安全性,提升了网络性能,并更新了大量软件包和插件。此外,它还新增了 WiFi 7 和高级网络发现支持等前沿技术。
本次核心更新并非仅限于“小补丁”;它是一项 版本加载了结构变化IPFire 新增了域名黑名单系统 (IPFire DBL)、对 Suricata 和 IPS 报告系统进行了重大改进、对 OpenVPN 进行了重大更新、针对最新漏洞的更强大的代理、对 LLDP/CDP 的原生支持,以及一系列更新的库和工具。所有这些都保持了 IPFire 一贯的稳定性、安全性和易于通过 Web 界面管理的特点。
IPFire 2.29 核心更新 200:新的 IPFire 内核和平台变更
本次版本更新的重点之一是IPFire内核更新。主系统分支已经…… 被超越 Linux 6.18.x LTS这带来了一系列安全性、性能和硬件兼容性方面的改进。6.18 LTS 系列包含累积的稳定性修复、最新的安全补丁以及可降低延迟并提升数据包过滤性能的优化——这在高流量场景或存在大量防火墙和 NAT 规则的场景中尤为重要。
新内核带来了 网络性能总体提升它提供更高的吞吐量、更低的延迟和更高级的数据包过滤功能。它还集成了针对最新硬件漏洞的缓解措施,增强了对利用现代 CPU 缺陷发起的攻击的防护能力。这对于将 IPFire 用作边界防火墙或具有高安全要求的关键基础设施环境至关重要。
在这个转型过程中,还有一个重要的决定:它有 已移除对 ReiserFS 文件系统的支持Linux 内核已将这项技术标记为过时,IPFire 项目也随之更新。如果您的当前 IPFire 安装使用 ReiserFS 文件系统,则无法直接应用 Core Update 200。您需要使用受支持的文件系统(例如 ext4、XFS 或其他最新 IPFire 镜像支持的文件系统)进行全新安装。IPFire 的 Web 界面已就此向用户发出警告一段时间,因此这一限制并不完全出乎意料。
IPFire DBL:IPFire 2.29 核心更新 200 中的新域名黑名单
由于著名的Shalla列表失效,IPFire的Web代理服务器失去了代理服务器。 稳定的域名过滤来源 恶意内容、社交媒体或成人网站。鉴于缺乏真正全面且持续维护的替代方案,IPFire 团队决定创建并维护自己的域名黑名单: IPFire DBL.
IPFire DBL 位于 早期β期然而,它已经在系统的两个关键点上实现了功能性应用:
- 代理 URL 过滤器管理员可以选择 IPFire DBL 作为要屏蔽的域名来源。这样,任何通过 HTTP/HTTPS 代理的访问都会与该列表进行比对,从而阻止访问潜在危险或有害的网站。
- 与 Suricata (IPS) 集成随着 IPFire DBL 的到来,该项目也成为了 Suricata 的规则提供程序。通过将域名数据库与深度包检测(DNS、TLS、HTTP、QUIC)相结合,即使绕过了传统代理,IPS 也能更彻底地阻止与被禁域名的连接。
尽管数据库仍在增长,但其目标是为 IPFire 用户提供 强大、最新且专门设计的黑名单 为了与防火墙生态系统集成,团队鼓励社区成员进行测试、报告问题并提出改进建议,以便在未来的版本中对其进行重大改进并添加新功能。
IPFire 2.29 核心更新 200 对入侵防御系统 (IPS) 进行了改进。
基于 Suricata 的 IPS 正在进行一系列重大改进,旨在提升其报告的性能、可靠性和实用性。此前的更新引入了以下功能: 将预编译签名存储在缓存中 为了加快 Suricata 的加载速度。然而,该缓存可能会不受控制地增长,并占用过多磁盘空间。
为了纠正这种行为,核心更新 200 包含一项 允许 Suricata 自动删除未使用签名的补丁这样既能保持快速启动时间的优势,又不会影响长期存储,这对于磁盘容量小的设备或专用设备来说至关重要。
报告组件(suricata-reporter)也得到了扩展:现在,可以针对与以下方面相关的警报进行报告: DNS、HTTP、TLS 或 QUIC此外,还会添加主机名和其他相关详细信息。这些信息会同时出现在警报电子邮件和 PDF 报告中,帮助管理员更准确地调查潜在的安全事件或公司策略违规行为。
除了这些更改之外,最近一次接近核心更新 200 的更新还引入了以下内容。 改进IPS故障时的管理在内存有限的系统中,我们观察到,如果 Suricata 崩溃或被系统终止以释放内存,防火墙可能会保持比预期更开放的状态,从而暴露内部服务。虽然没有观察到利用此行为的实际攻击,但这被认为是一个重大的安全风险。
为了缓解这种情况,现在有 对IPS进行监督的严密流程 如果检测到意外丢包,则会重启连接。标记为“白名单”的流量不再发送到 IPS 进行排除:它们会在 iptables 链中直接被跳过,从而优化性能并降低复杂性。此外,还新增了过滤 IPsec 流量的功能;此前,除少数特定情况外,此类流量会被排除在 IPS 分析之外,而现在,只要 IPsec 流量通过已配置的接口路由,就可以对其进行检查。
IPS Web界面新增了一项功能。 新绩效图表 此图显示了处理后的流量,并将其分为三类:扫描流量(入站和出站)、白名单流量和绕过流量。这清晰地展示了实际的入侵防御系统 (IPS) 使用情况,并有助于进行更合理的规则和策略调整。
OpenVPN:配置和身份验证的更改
IPFire 中的 OpenVPN 模块进行了一系列重大调整,以使客户端和服务器配置更加灵活,并符合当前的最佳实践。从这个版本开始, 客户端配置文件不再包含固定的 MTU 值服务器会将相应的 MTU 值“推送”给每个客户端,这样管理员就可以在无需重新生成所有用户配置的情况下更改此值。值得注意的是,一些非常老旧的客户端可能无法完全理解这种行为。
如果使用基于一次性密码 (OTP) 的两步认证, 服务器现在正在发送一次性令牌。 当客户端启用一次性密码 (OTP) 时,此操作会将逻辑集中在服务器端,避免不一致,并简化临时凭证的管理。
此外,客户资料不再包含以下内容 证书颁发机构 (CA) 嵌入在 PKCS#12 容器之外以前,由于证书重复,使用 NetworkManager 等工具从命令行导入连接时可能会出现问题。现在,CA 证书已包含在 PKCS#12 文件中,因此消除了这种冗余,简化了流程并防止了错误。
“移动办公”服务器配置中新增了更多设置。当 OpenVPN 服务器继续使用时 被视为遗留问题的密码IPFire 现在会突出显示此信息,以提醒管理员建议迁移到更现代的套件。它还允许向客户端推送多个 DNS 和 WINS 服务器,这在存在多个内部域或特定名称服务器的复杂网络中非常有用。
OpenVPN 服务器现在运行正常。 始终处于多家庭模式这在具有多个接口的防火墙中很有意义。它确保服务器始终使用客户端最初连接的同一 IP 地址响应客户端,即使服务器有多条通往互联网或内部网络的出站路径。此外,还修复了一个导致客户端定义的第一个自定义路由无法正确推送的错误,并改进了 OTP 身份验证流程,以便在客户端遇到问题时提示其完成第二重验证。
最后,该策略已从客户端配置中移除。 auth-nocache,由于其 实际效果几乎为零。 实际上,这造成了一种虚假的安全感。经过这些改进,IPFire 中的 OpenVPN 现在更符合当前的最佳实践,也让管理员的工作更加轻松。
WiFi 7 和 WiFi 6:无线网络的代际飞跃
此次更新最引人注目的方面之一是 IPFire 终于可以充分利用 WiFi 7 (802.11be) 和 WiFi 6 (802.11ax) 的功能了。 它作为无线接入点发挥作用。虽然硬件之前就能正常工作,但这些标准的新特性现在得以展现并得到妥善管理。
在无线设置中,您可以选择 首选 WiFi 模式 剩下的就交给 IPFire 来处理吧。该系统全面支持 802.11be 和 802.11ax 标准,以及已有的 802.11ac/agn 模式。这包括使用高达 320 MHz 的信道,从而实现超过 5,7 Gbps 的带宽(双空间流)或高达约 11,5 Gbps 的带宽(四空间流),所有传输均以无线方式完成。这些数值显然取决于硬件和无线电环境,但系统已具备充分的支持,可随时充分利用最新一代设备的性能。
IPFire现在可以自动检测 先进的WiFi硬件功能以前需要手动配置的“HT功能”和“VHT功能”(这是一个繁琐且容易出错的过程)现在已实现内部管理。系统会自动启用设备支持的所有功能(例如MU-MIMO、宽信道等),从而打造更稳定、更快速、更易于管理的无线网络。
在仍然使用 WPA2 甚至 WPA1 的环境中,IPFire 现在允许使用 身份验证过程中的 SHA256 为了增强无法使用 WPA3 的客户端的握手安全性。此外,SSID 保护默认启用:如果使用受保护的管理帧 (802.11w),系统会自动启用信标保护和运行信道验证,从而阻止某些操纵网络信令的攻击。
为了提高空气效率, 多播数据包被转换为单播数据包 当网络主要由现代高速客户端组成时,这是默认设置。此技术可减少传统组播流量浪费的空中时间,并改善整体体验,尤其是在密集型网络中。如果硬件允许,雷达检测(某些频段的 DFS 需要此操作)将在后台执行,从而避免对 Wi-Fi 服务造成任何明显的干扰。
尽管网页界面形式没有发生根本性变化,但大部分的优化工作都在后台进行,包括参数优化和硬件性能最大化。集成 IPFire 的 Lightning Wire Labs 设备就是其中之一。 这些功能会自动激活。因此,这些设备的用户无需过多调整设置即可体验到这些改进。
支持 LLDP 和 Cisco 发现协议
核心更新 200 原生集成了对以下功能的支持: 链路层发现协议 (LLDP) 和思科发现协议版本 2 (CDPv2)这些协议允许 IPFire 在直接连接的网段上“通告”和发现第 2 层设备,这在复杂的网络基础设施中非常有用。
得益于LLDP/CDP,防火墙可以识别 它连接到交换机的哪些端口?反之,交换机和监控工具可以清晰地看到 IPFire 在网络拓扑图上的位置。这可以与 Observium 等平台以及其他网络拓扑图和监控系统无缝集成,从而简化具有众多 VLAN、干线链路和分布式设备的大型环境的管理。
该功能已激活并配置。 Web 界面,在“网络”→“LLDP”部分您可以在此处决定在哪些接口上启用该协议、通告哪些信息以及如何将数据与网络配置的其余部分集成。
IPFire 2.29 核心更新 200 中的 DNS、PPP 和其他核心服务
IPFire基于Unbound的DNS代理也得到了重大升级。它不再以单线程模式运行, Unbound 现在会为每个 CPU 核心启动一个线程这样一来,您就可以利用如今常见的多核处理器,并减少负载下的 DNS 响应时间,这在客户端众多或并发请求较多的环境中尤为明显。
在 PPP 接入连接(例如某些 DSL、4G 或 5G 线路)中,IPFire 会调整 LCP 保活数据包的发送方式。 仅在线路没有实际流量时才发放。这一小小的改变可以略微减轻网络连接的负载,这对于资源有限或数据限制严格的移动网络连接来说尤其重要。
管理界面中的一个视觉细节已修复: DNS 页面现在始终显示以下图例: 表示元素,避免在解释服务器状态、分辨率或配置的工作模式时产生混淆。
网络代理和最近的安全
HTTP/HTTPS代理组件已进行了一些以安全为中心的更改。 针对漏洞 CVE-2025-62168 的具体缓解措施 在代理配置中,加强对与该 CVE 相关的攻击模式的防护。这样,IPFire 透明代理或认证代理的用户无需手动修改配置文件即可受益于额外的安全措施。
一个 URL过滤过程中的竞争条件在某些情况下,编译过滤数据库的过程中可能会突然终止,导致暂时性故障或数据不一致。核心更新 200 中包含的修复程序可以更稳定地编译列表,从而最大限度地降低更新期间过滤过程停止运行的风险。
Web界面和管理经验
IPFire Web界面已进行多项可用性改进和错误修复。[缺少部分名称]中的问题已得到解决。 阻止创建新位置组的防火墙,这是一个非常有用的功能,可以对国家或地区进行分组,并根据地理位置应用规则。
在硬件漏洞部分,当系统无法正常工作时会显示以下消息 支持SMT(同步多线程)向管理员解释为什么某些缓解措施或安全状态会以某种方式出现。此外,电子邮件模块中的一个错误也已修复。 包含某些特殊字符的凭证 存储过程中可能会“损坏”,导致与外部邮件服务器的身份验证错误。
安全更新:OpenSSL、glibc 等
就关键库而言,OpenSSL 已更新为 版本3.6.1 多个漏洞已得到修复,包括 CVE-2025-11187、CVE-2025-15467、CVE-2025-15468、CVE-2025-15469、CVE-2025-66199、CVE-2025-68160、CVE-2025-69418、CVE-2025-69419、CVE-2025-69420、CVE-2025-69421、CVE-2026-22795 和 CVE-2026-22796。这一系列 CVE 漏洞的修复表明…… 密码加固工作负载 该版本已包含此内容。
glibc 标准库也已针对几个相关漏洞进行了修补: CVE-2026-0861,CVE-2026-0915和CVE-2025-15281由于它是整个系统的核心组件,因此保持其更新和修复对于减少攻击面和确保应用程序受益于最新的修复程序至关重要。
核心软件包和组件进行了重大更新
核心更新 200 带来了大量更新的软件包。其中最值得注意的是: Apache 2.4.66、bash 5.3p9、BIND 9.20.18、coreutils 9.9、cURL 8.18.0、dhcpcd 10.3.0、elinks 0.19.0、glib 2.87.0、GnuPG 2.4.9、GnuTLS 3.8.11 以及许多其他图形和系统库,例如 harfbuzz 12.3.0、hwdata 0.403、iana-etc 20251215、intel-microcode 20251111 或 libarchive 3.8.5。
它们也会更新。 libcap-ng 0.9、libgpg-error 1.58、libidn2 2.3.8、libjpeg 3.1.3、libpcap 1.10.6、libplist 2.7.0、libpng 1.6.53、libtasn1 4.21.0、liburcu 0.15.5、libxcrypt 4.5.1此外,还包括 LVM2 2.03.38 和 mdadm 4.5 等卷和 RAID 管理工具。新版本包括 memtest (8.00)、meson (1.10.1)、newt (0.52.25)、ninja (1.13.2)、oath-toolkit (2.6.13)、OpenVPN (2.6.17)、OpenSSL (基础堆栈中的 3.6.1)、SQLite (3.51.100)、tzdata (2025c)、readline (8.3p3)、strongSwan (6.0.4)、suricata (8.0.3)、suricata-reporter (0.6)、Rust (1.92.0)、Unbound (1.24.2)、wireless-regdb (2025.10.07)、vim (9.1.2098) 和 xz (5.8.2)。
至于插件,它们已经更新了。 alsa 1.2.15.3、ClamAV 1.5.1、dnsdist 2.0.2、fetchmail 6.6.0、gdb 17.1、Git 2.52.0、fort-validator 1.6.7、freeradius 3.2.8、libtpms 0.10.2、opus 1.6.1、postfix 3.10.6、samba 4.23.4、strace 6.18、tmux 3.6a、Tor 0.4.8.21 和 tshark 4.6.3综合来看,此更新包提供了安全改进、对新协议的支持、与现代硬件的兼容性以及遍布整个堆栈的错误修复。
特色插件:arpwatch、ffmpeg 等
IPFire 的附加功能中,以下几点尤为突出: arpwatch 作为一个新的插件此工具可监控网络上的 MAC 地址,并在出现可疑更改时发出警报(例如,当 IP 地址与不同的 MAC 地址关联时)。此版本修复了电子邮件发件人信封中的一个问题,该问题曾导致部分邮件服务器拒绝邮件。现在,系统会发送正确的发件人地址,并且 MAC 地址始终以零填充显示,从而提高了报告的可读性。
埃尔帕克特 ffmpeg 已更新至 8.0 版本 该插件套件已重新编译并链接至 OpenSSL 和 LAME 库,从而能够恢复使用 HTTPS 和 MP3 编码从外部源传输流媒体的功能。这使得 IPFire 可以作为多媒体解决方案的集成点,用于播放或转发安全内容。
其他正在更新的配件包括 dnsdist 2.0.1、fetchmail 6.5.7、hostapd(最新版本 f747ae0)、libmpdclient 2.23、mpd 0.24.5、mympd 22.1.1、nano 8.7、openvmtools 13.0.5、Samba 4.23.2、shairport-sync 4.3.7、Tor 0.4.8.19、tshark 4.6.1 和 zabbix_agentd 7.0.21 LTS这些版本修复了错误,增加了对新功能的支持,并调整了与现代版本基础库的兼容性。
经过所有这些更改,IPFire 2.29 Core Update 200 已整合为一个 成熟、安全的防火墙平台,可兼容下一代硬件和标准从 WiFi 7 到最新的内核版本和加密组件,IPFire 兼容多种技术。对于那些已经依赖 IPFire 来保护家庭或企业网络的用户来说,新版本在性能、网络可视性和过滤功能方面都实现了显著提升,并且拥有活跃的社区支持和持续改进的开发周期,不断提升安全性和支持力度。
