IPFire 2.29 核心更新 199 引入了对 WiFi 7 和 WiFi 6 的高级支持集成,以及对 LLDP/CDP 的支持。

  • 集成对 WiFi 7 和 WiFi 6 的高级支持,以及 LLDP/CDP,从而提高无线性能和网络可见性。
  • 内核更新至 Linux 6.12.58,IPS 修订版采用 Suricata 8.0.2 和 suricata-reporter 0.5,增强了稳定性和安全性。
  • 对 OpenVPN Roadwarrior、代理和 Web UI 进行了改进,修复了错误,优化了安全性,并简化了日常管理。
  • 对基础软件包和附加组件进行了广泛更新,包括 ffmpeg 8.0、ClamAV 1.5.1、Samba 4.23.2 和 zabbix_agentd 7.0.21 (LTS)。
Pablinux

12分钟

IPFire 2.29核心更新199

IPFire 2.29核心更新199 它带来了深刻的变化。 这些更新几乎影响到系统的每一层:从下一代无线支持到强化的核心安全,包括对 VPN、代理、Web 界面以及众多软件包的改进。此版本最初作为测试版本发布,旨在满足企业和高级家庭用户等高要求环境的需求。

在本指南中,我们将逐步讲解 所有技术和功能创新 本次更新包括:支持 WiFi 7 和 WiFi 6、原生集成 LLDP/CDP、全新内核、入侵防御系统改进、OpenVPN 优化、代理优化、界面细微调整、插件更新,以及背后大量的开发工作。如果您在生产环境中使用 IPFire,那么了解此次更新的具体内容及其优势至关重要。

IPFire 2.29 Core Update 199 在无线网络方面实现了飞跃:支持 WiFi 7 和 WiFi 6。

这一版本的一大亮点是…… IPFire 直接兼容 WiFi 7 和 WiFi 6 接入点此前,部分硬件已经可以正常工作,但这些标准的先进功能并未得到充分利用。通过核心更新 199,系统现在可以充分利用这些高级特性,从而实现更高的速度和更低的延迟。

现在可以简单地指出 界面中首选的 WiFi 模式其余配置工作由 IPFire 处理。除了现有的 802.11ac/agn 标准外,还新增了 802.11be (WiFi 7) 和 802.11ax (WiFi 6) 标准,并支持高达 320 MHz 的信道宽度。这意味着带宽将大幅提升:双空间流模式下超过 5,7 Gbps,四空间流模式下约 11,5 Gbps,全程无线传输。

另一个重要的变化是 IPFire会自动检测WiFi硬件的功能 它无需用户费力调整晦涩难懂的设置即可激活支持的功能。以前,配置“HT 功能”和“VHT 功能”需要手动完成,这既容易出错又浪费时间。现在,系统会自动安全地启用无线网卡支持的所有功能,从而带来更稳定、更快速的网络。

关于无线安全,引入了以下选项: 加强仍使用 WPA2 或 WPA1 的网络当有客户端无法使用 WPA3 时,IPFire 允许在身份验证期间使用 SHA256,从而增强握手,而无需强制放弃这些旧协议,这在许多混合设备园区中仍然是必要的。

本次更新为标准配置。 通过 MFP 启用 SSID 保护 (管理帧保护,802.11w)在可用时启用。在这种情况下,系统会自动启用信标保护和工作信道验证,从而阻止基于伪造管理帧的攻击,并提高网络抵御恶意干扰的鲁棒性。

为了优化频谱使用,IPFire 集成了一种机制,该机制 默认情况下将多播流量转换为单播流量。 当大多数客户端都是现代化且速度很快的设备时,这一点尤其有用。它可以释放信道资源并减少冲突,这对于消耗大量音视频服务或广播流量的密集型网络尤为重要。

如果硬件允许,就可以做到。 背景雷达探测这对于DFS信道的正常运行以及遵守与雷达业务共享频段的相关法规至关重要。所有这些都已无缝集成到界面中,界面本身基本保持不变,因为实际工作都在后台完成。

Lightning Wire Labs 的产品,专为 IPFire 设计, 这些高级WiFi功能将自动激活。这意味着这些设备的用户从一开始就能充分利用新型无线电池。

使用 LLDP 和 Cisco 发现协议进行网络发现

在复杂的环境中,准确了解情况至关重要。 每个防火墙接口分别连接到什么? 它对诊断和文档记录至关重要。通过核心更新 199,IPFire 集成了对 LLDP(链路层发现协议)和 CDPv2(思科发现协议)的原生支持,这两种协议广泛应用于管理型交换机和专业网络设备中。

由于这种集成,防火墙可以 自动识别连接到每个物理端口的设备 并确定每个接口连接到哪个交换机端口。这大大简化了处理装满设备、VLAN、中继和聚合的机架时的操作,并且可以与 Observium 等监控和映射工具无缝集成。

各项功能均可通过网页界面菜单轻松管理。 服务 → LLDP用户可以根据需要启用、禁用 IPFire,或调整其参数。这样,​​IPFire 就成为网络拓扑中一个更显眼、更全面集成的组件。

IPFire 2.29 内核更新 199 中更新了内核并提升了性能

此次核心更新的另一个关键组成部分是: IPFire内核更新至Linux分支6.12.58此次版本升级带来了诸多安全性和稳定性方面的修复,以及性能方面的改进,在现代硬件和高负载工作负载下尤其明显。

某些事项已进行审查。 与调度调试和并发相关的配置设置 (抢占式调试)。禁用或微调生产环境中不需要的某些调试参数,可以显著提高许多系统的性能,降低延迟,并改善负载下的防火墙响应时间。

加强入侵防御系统(IPS)

IPFire IPS 的核心, Suricata 已更新至 8.0.2 版本。这一变化不仅为流量分析引擎带来了内部改进,而且还为新的规则和检测功能打开了大门,使系统能够应对当前的威胁。

IPS报告功能也收到了 由于 SQLite 数据库出现问题,需要进行重大调整。 该系统内部使用。当系统繁忙时,可能会遗漏一些警报。此问题已在 suricata-reporter 软件包 0.5 版本中得到解决,该版本可确保警报得到可靠记录和报告。

此外,IPS报告现在将包含 固定送货时间为凌晨 1 点。这一小小的改变响应了多位管理员的要求,他们需要在早上第一时间准备好报告,从而方便在工作日开始前对安全状况进行每日审查。

IPFire 2.29 核心更新 199 中针对漫游客户端的 OpenVPN 改进

OpenVPN Roadwarrior 模块也收到了一小包但 针对远程访问环境进行了重大优化首先,如果服务器仍然使用被认为是过时的密码,界面会突出显示这些密码,以引起管理员的注意,并鼓励他们计划迁移到更强大的算法。

可能性 向客户端推送多个 DNS 和 WINS 服务器这在拥有多个域、内部解析器或混合环境的企业网络中非常有用。它极大地简化了配置,无需在客户端进行任何变通操作或编写额外的脚本。

OpenVPN服务器现在可以正常工作了。 始终处于多家庭模式这更符合 IPFire 的实际情况,IPFire 通常部署在多个网络接口上。通过这种设置,无论连接来自内部网络还是外部网络,服务器始终使用客户端连接的同一个 IP 地址进行响应,从而避免在多路由场景下出现意外行为。

一个漏洞也已修复。 阻止了第一个自定义路由的正确推送。 即使其他配置都正确无误,此漏洞也可能导致某些网络无法通过隧道访问。修复此漏洞后,自定义路由现在可以按预期分发。

关于身份验证,该组件负责验证用户身份。 它能更好地处理一次性密码(OTP)流程。当客户端在两步身份验证过程中感到“困惑”时,服务器会额外努力引导他们并正确完成登录,从而减少因最终用户误解而导致的事件。

最后,它被移除。 客户端配置文件中的 auth-nocache 指令由于它在这种情况下无效。删除它既简化了文件,又不会对部署的实际安全性产生负面影响。

代理:IPFire 2.29 核心更新 199 安全性和稳定性缓解措施

IPFire的代理也受益于旨在实现以下目标的更改: 降低安全风险并优化比赛规则首先,针对已识别为 CVE-2025-62168 的漏洞,采取了特定的缓解措施,加强了配置以防止可能的利用。

另一方面,这个问题已经解决了。 可能导致 URL 过滤进程被强制终止的竞态条件 在数据库编译过程中,某些情况下会导致服务偶尔崩溃或筛选功能丢失,直到服务重启后才能恢复。内置的修复程序可以确保列表编译过程不间断。

对网页界面进行了一些虽小但意义重大的改进

网站管理界面进行了一些改进,虽然这些改进并不显著, 它们明显提高了日常可用性防火墙模块修复了一个阻止创建新位置组的错误,该错误对于管理基于国家或地区的规则来说是一个非常有用的功能。

在专门介绍硬件漏洞的章节中, 当系统不支持SMT时,现在会显示更清晰的信息。 (同步多线程)。管理员不再被令人困惑的消息所困扰,而是能更好地了解 CPU 使用情况及其对某些缓解措施的影响。

邮件模块会调整对其中包含的凭据的处理方式。 精细特殊字符这样可以防止数据在保存过程中损坏或“丢失”。这减少了配置通知和其他依赖 SMTP 身份验证的服务时出现的问题。

一般变更和系统更新包

除了具体功能外,本次更新还包括 对系统进行了根本性修改,并更新了大量软件包。首先,D-Bus守护进程现在默认在IPFire中运行,为未来依赖于此内部消息传递基础架构的功能铺平了道路。

initramfs 构建系统也在不断发展: dracut 被 dracut-ng 取代由于原项目已被 Red Hat 放弃,这一改变确保了积极的维护,并为启动和恢复过程奠定了更坚实的基础。

在新增的实用功能中,包括: dma,一款用于生成本地邮箱的工具 并以轻量级的方式管理电子邮件,这在不需要大型 MTA 但需要一些内部交付功能的系统中尤其有用。

加密协议栈也进行了调整,以使 IPFire 符合当前建议: SSH 密码套件与上游同步 并且优先使用 AES-GCM 而不是 AES-CTR,默认情况下更倾向于使用更强大的认证模式。

也已更正 防火墙规则执行中的竞态条件在之前的系统中,如果同时插入一条新规则,原有的规则可能会失效。而新系统则能确保即使政策频繁变动,规则也能保持一致。

其他变化

关于核心软件包目录,Core Update 199 更新了大量基础组件。其中包括(但不限于): coreutils 9.8、c-ares 1.34.5(已修复 CVE-2025-31498 漏洞)、cURL 8.17.0 和 BIND 9.20.16系统实用程序和名称解析的基本支柱。

关键库和工具也在进行升级,例如 boost 1.89.0、btrfs-progs 6.17.1、elfutils 0.194、expat 2.7.3(修复了 CVE-2025-59375 和 CVE-2024-8176 漏洞)、fmt 12.1.0、FUSE 3.17.4 和 glib 2.86.0增强兼容性和安全性。

已包含更新。 harfbuzz 12.1.0、hwdata 0.400、iana-etc 20251030、iproute2 6.17.0、kbd 2.9.0、less 685、libarchive 3.8.2、libcap 2.77、libgpg-error 1.56、libxml2 2.15.1 和 LVM2 2.03.36它们都是系统管理、控制台、存储和数据解析的关键组件。

该套建筑和开发工具也在进行更新。 nasm 3.00、ninja 1.13.1、protobuf 33.0 和 Rust 1.85.0同时,得益于 SQLite 3.51.0、Suricata 8.0.2、suricata-reporter 0.5、strongSwan 6.0.3、unbound 1.24.1 等,嵌入式数据库和各种网络服务得到了改进。

更新包由各种系统和管理实用程序完成,例如 sysvinit 3.14、udev 258、util-linux 2.41.2、vim 9.1.1854、whois 5.6.5、usbutils 019 和 xfsprogs 6.17.0除了代码中多次“代码清理”之外,还提高了代码的可维护性并减少了技术债务。

附加组件:新增功能和更新版本

IPFire插件生态系统也在更新,并纳入了 多个插件的修正和新增功能备受关注的工具之一是 arpwatch,它旨在监控网络上 MAC 地址的变化。

一个阻止arpwatch运行的错误 请在通知邮件中发送正确的发件人姓名。这导致部分服务器拒绝接收这些邮件。此外,MAC 地址现在始终以零填充显示,使其更易于阅读并避免混淆。

ffmpeg 插件已更新至 8.0 版本新增了与 OpenSSL 和 lame 库的链接。正因如此,IPFire 可以再次毫无问题地处理来自外部来源的 HTTPS 和 mp3 编码流,恢复了一些管理员所怀念的流媒体功能。

除了这些更改之外,插件中的许多其他软件包也进行了更新,例如: ClamAV 1.5.1、dnsdist 2.0.1、fetchmail 6.5.7、hostapd f747ae0、libmpdclient 2.23、mpd 0.24.5 和 mympd 22.1.1改进防病毒功能、高级 DNS、电子邮件、多媒体服务和接入点管理。

这一版本的规模清楚地表明,IPFire 仍在继续押注于此。 扩展网络功能,加强安全性,并不断完善管理体验从新一代 WiFi 和通过 LLDP/CDP 改进的可见性,到现代化的内核、更可靠的 IPS、OpenVPN 的改进、增强的代理、小的接口修复、更新的软件包库和扩展的插件,所有这些都结合在一起,提供了一个更快、更安全的系统,可以应对复杂的场景,并且始终得到社区和团队的支持,而社区和团队需要支持才能跟上这种发展的步伐。