עדכון ליבה IPFire 2.29 199 הוא מגיע עמוס בשינויים עמוקים עדכונים אלה משפיעים כמעט על כל שכבה של המערכת: החל מתמיכה אלחוטית מהדור הבא ועד לאבטחת ליבה מחודדת, כולל שיפורים ב-VPN, פרוקסי, ממשק אינטרנט ומגוון חבילות מעודכנות. גרסה זו, שיצאה בתחילה כגרסת ניסיון, מכוונת בעיקר לסביבות תובעניות, הן למשתמשים ארגוניים והן למשתמשים ביתיים מתקדמים.
לאורך מדריך זה נפרט כל החידושים הטכניים והפונקציונליים עדכון זה כולל: תמיכה ב-WiFi 7 ו-WiFi 6, שילוב LLDP/CDP מקורי, ליבה חדשה, שינויים במערכת מניעת חדירות, שיפורים ב-OpenVPN, שיפורי פרוקסי, שינויים קלים בממשק, תוספים מעודכנים ומאמץ הפיתוח המשמעותי שמאחוריו. אם אתם משתמשים ב-IPFire בסביבת ייצור, כדאי שתבינו מה השתנה וכיצד זה יכול להועיל לכם.
עדכון הליבה 199 של IPFire 2.29 עושה קפיצת מדרגה ברשתות אלחוטיות: תמיכה ב-WiFi 7 ו-WiFi 6
אחד הכוכבים הגדולים של גרסה זו הוא ה- תאימות ישירה של IPFire עם נקודות גישה WiFi 7 ו- WiFi 6עד כה, חלק מהחומרה כבר עבדה, אך היכולות המתקדמות של סטנדרטים אלה לא נוצלו במלואן. עם עדכון הליבה 199, המערכת יכולה כעת לנצל את מלוא היתרונות של תכונות מתקדמות אלה כדי לספק מהירות גבוהה יותר והשהיה נמוכה יותר.
כעת ניתן פשוט לציין את מצב WiFi מועדף מהממשקולתת ל-IPFire לטפל בשאר התצורה. 802.11be (WiFi 7) ו-802.11ax (WiFi 6) מתווספים ל-802.11ac/agn הקיים, ונתמך רוחב ערוץ של עד 320 מגה-הרץ. זה מתורגם לנתוני רוחב פס מרשימים באמת: מעל 5,7 ג'יגה-ביט לשנייה עם שני זרמים מרחביים או כ-11,5 ג'יגה-ביט לשנייה עם ארבעה זרמים, בכל רחבי האוויר.
שינוי חשוב נוסף הוא זה IPFire מזהה אוטומטית את יכולות חומרת ה-WiFi ומפעיל תכונות נתמכות ללא צורך להתעסק עם הגדרות מוצפנות. בעבר, הגדרת "יכולות HT" ו-"יכולות VHT" נעשתה באופן ידני, עם הסיכון שנגרם לשגיאות ובזבוז זמן. כעת המערכת דואגת להפעלת כל מה שהכרטיס האלחוטי תומך בו בצורה מאובטחת, וכתוצאה מכך רשתות יציבות ומהירות יותר.
בנוגע לאבטחה אלחוטית, האפשרות מוצגת ל לחזק רשתות שעדיין משתמשות ב-WPA2 או WPA1כאשר ישנם לקוחות שאינם יכולים להשתמש ב-WPA3, IPFire יאפשר את השימוש ב-SHA256 במהלך האימות, ויחזק את לחיצת היד מבלי לאלץ את נטישת הפרוטוקולים הישנים הללו, דבר שעדיין הכרחי בפארקי מכשירים מעורבים רבים.
עדכון זה מגיע כסטנדרט. הפעלת הגנת SSID דרך MFP (הגנת מסגרות ניהול, 802.11w) היכן שזמינה. במקרים אלה, המערכת מאפשרת באופן אוטומטי את הגנת המשואה ואת אימות ערוץ ההפעלה, ובכך מונעת התקפות המבוססות על מסגרות ניהול מזויפות ומשפרת את חוסן הרשת מפני הפרעות זדוניות.
כדי לייעל את ניצול הספקטרום, IPFire משלב מנגנון ש... ממיר תעבורת שידור מרובה לשידור חד-פעמי כברירת מחדל. זה שימושי במיוחד כאשר רוב הלקוחות מודרניים ומהירים. זה מפנה זמן אוויר ומפחית התנגשויות, וזה מועיל במיוחד ברשתות צפופות הצורכות הרבה שירותים אודיו-ויזואליים או תעבורת שידור.
אם החומרה מאפשרת זאת, זה נעשה גילוי רדאר רקעזה חיוני לפעולה תקינה עם ערוצי DFS ועמידה בתקנות עבור תחומי תדרים המשותפים עם שירותי מכ"ם. כל זה משולב בצורה חלקה בממשק, שנותר ברובו ללא שינוי, שכן העבודה האמיתית מתרחשת מתחת למכסה המנוע.
מוצרי Lightning Wire Labs, שתוכננו במיוחד עבור IPFire, יכולות WiFi מתקדמות אלו יופעלו באופן אוטומטי.משמעות הדבר היא שמשתמשי מכשירים אלה יפיקו את המרב מהסוללה האלחוטית החדשה מהרגע הראשון.
גילוי רשתות עם LLDP ופרוטוקול גילוי סיסקו
בסביבות מורכבות, לדעת בדיוק לאיזה ממשק חומת אש מתחבר כל אחד? זהו מפתח לאבחון ותיעוד. עם Core Update 199, IPFire משלב תמיכה מקורית עבור LLDP (Link Layer Discovery Protocol) ו-CDPv2 (Cisco Discovery Protocol), שני פרוטוקולים הנמצאים בשימוש נרחב במתגים מנוהלים ובציוד רשת מקצועי.
הודות לשילוב זה, חומת האש יכולה זיהוי אוטומטי של המכשירים המחוברים לכל יציאה פיזית ולקבוע לאיזה יציאת מתג כל ממשק מתחבר. זה מפשט מאוד את הדברים בעת עבודה עם ארונות מלאים בציוד, VLANs, trunks ו-aggregations, ומשתלב בצורה חלקה עם כלי ניטור ומיפוי כמו Observium.
הפונקציונליות מנוהלת בנוחות מממשק האינטרנט, בתפריט. שירותים → LLDPהיכן שניתן להפעילו, לבטלו או להתאים פרמטרים בהתאם לצורכי הסביבה. בדרך זו, IPFire הופך לשחקן גלוי ומשולב באופן מלא יותר בטופולוגיית הרשת.
שיפורי ליבה וביצועים מעודכנים בעדכון הליבה 199 של IPFire 2.29
מרכיב מרכזי נוסף בעדכון הליבה הזה הוא עדכון ליבת IPFire לענף לינוקס 6.12.58שדרוג גרסה זה מביא תיקוני אבטחה ויציבות רבים, כמו גם שיפורי ביצועים הבולטים במיוחד בחומרה מודרנית ובעומסי עבודה תובעניים.
דברים מסוימים נבדקו הגדרות תצורה הקשורות לתזמון ניפוי שגיאות ובמקביליות (ניפוי שגיאות מקדים). השבתה או כוונון עדין של פרמטרים מסוימים של ניפוי שגיאות שאינם נחוצים בייצור גורמים לעלייה ניכרת בביצועים במערכות רבות, מה שמפחית את ההשהיה ומשפר את זמן התגובה של חומת האש תחת עומס.
חיזוק מערכת מניעת חדירות (IPS)
לב ליבת ה-IPS של IPFire, סוריקטה עודכנה לגרסה 8.0.2שינוי זה לא רק מביא שיפורים פנימיים למנוע ניתוח התעבורה, אלא גם פותח את הדלת לכללים חדשים ויכולות זיהוי, תוך שמירה על המערכת מעודכנת כנגד איומים עכשוויים.
פונקציונליות הדיווח של IPS קיבלה גם התאמה משמעותית עקב בעיות במסד הנתונים של SQLite בשימוש פנימי. כאשר מערכת זו הייתה עמוסה, ייתכן שחלק מההתראות לא יזוהו. בעיה זו נפתרה עם גרסה 0.5 של חבילת suricata-reporter, אשר מבטיחה שההתראות יירשמו ויודעו בצורה אמינה.
בנוסף, דוחות ה-IPS יכללו כעת לוח זמנים קבוע לאספקה בשעה 1:00 לפנות בוקרשינוי קטן זה נענה לבקשתם של מספר מנהלים שהיו צריכים שהדוחות יהיו מוכנים מוקדם בבוקר, ובכך להקל על הסקירה היומית של מצב האבטחה לפני תחילת יום העבודה.
שיפורי OpenVPN עבור לקוחות נודדים בעדכון הליבה 199 של IPFire 2.29
מודול OpenVPN Roadwarrior מקבל גם חבילה של רכיבים קטנים אך אופטימיזציות משמעותיות עבור סביבות גישה מרחוקראשית, אם השרת עדיין משתמש בצפנים הנחשבים מדור קודם, הממשק ידגיש אותם כדי למשוך את תשומת ליבו של המנהל ולעודד אותו לתכנן מעבר לאלגוריתמים חזקים יותר.
האפשרות של דחיפת שרתי DNS ו-WINS מרובים ללקוחותזה מאוד שימושי ברשתות ארגוניות עם מספר דומיינים, רזולוורים פנימיים או סביבות מעורבות. זה מפשט מאוד את התצורה מבלי לדרוש פריצות או סקריפטים נוספים בצד הלקוח.
שרת ה-OpenVPN עובד כעת. תמיד במצב מרובה בתיםזה מתיישב טוב יותר עם המציאות של IPFire, אשר בדרך כלל נפרס עם מספר ממשקי רשת. עם הגדרה זו, השרת מגיב באופן עקבי באמצעות אותה כתובת IP שאליה הלקוח מתחבר, בין אם החיבור מגיע מרשת פנימית או חיצונית, ובכך מונע התנהגות בלתי צפויה בתרחישים מרובי נתיבים.
תוקן גם באג ש מנע את דחיפתו של המסלול המותאם אישית הראשון בצורה נכונה פגיעות זו עלולה לגרום לחוסר גישה לרשתות מסוימות דרך המנהרה, גם אם שאר התצורה הוגדרה כהלכה. עם התיקון, נתיבים מותאמים אישית מופצים כעת כצפוי.
בנוגע לאימות, הרכיב האחראי על אימות משתמשים זה מטפל טוב יותר בזרימות OTP.כאשר הלקוח "מתבלבל" במהלך תהליך האימות הדו-שלבי, השרת יעשה מאמץ נוסף להדריך אותו ולהשלים את ההתחברות בצורה נכונה, ובכך יפחית אירועים עקב אי הבנות של משתמשי הקצה.
לבסוף, הוא מוסר משם קובץ תצורת הלקוח, הוראת auth-nocacheמכיוון שהוא לא היה יעיל בהקשר זה. הסרתו מפשטת את הקובץ מבלי לפגוע באבטחה בפועל של הפריסה.
פרוקסי: עדכון ליבה 199 של IPFire 2.29, שיפורי אבטחה ויציבות
הפרוקסי של IPFire נהנה גם משינויים שנועדו להפחית סיכוני בטיחות ולשפר מצבי מרוץראשית, מוחל אמצעי הפחתה ספציפי כנגד הפגיעות שזוהתה כ-CVE-2025-62168, תוך חיזוק התצורה כדי למנוע ניצול אפשרי של גורמים.
מצד שני, זה נפתר מצב מרוץ שעלול לגרום לסיום כפוי של תהליך סינון כתובות URL במהלך קומפילציית מסדי הנתונים שלהם. בנסיבות מסוימות, הדבר הוביל לקריסות מדי פעם או לאובדן סינון עד להפעלה מחדש של השירות. בעזרת התיקון המובנה, קומפילציית הרשימות אמורה להמשיך ללא הפרעה.
שיפורים קטנים אך משמעותיים בממשק האינטרנט
ממשק ניהול האינטרנט מקבל מספר שיפורים, שלמרות שאינם מרהיבים, הם משפרים בבירור את השימושיות היומיומיתמודול חומת האש מתקן באג שמנע יצירת קבוצות מיקומים חדשות, תכונה שימושית מאוד לניהול כללים המבוססים על מדינות או אזורים.
בחלק המוקדש לפגיעויות חומרה, כעת מוצגת הודעה ברורה יותר כאשר המערכת אינה תומכת ב-SMT. (ריבוי הליכים סימולטני). במקום הודעות מבלבלות, המנהל מבין טוב יותר את מצב המעבד וכיצד הוא משפיע על אמצעי הפחתה מסוימים.
מודול הדואר מתאים את הטיפול בפרטי הגישה שהם מכילים תווים מיוחדים עדיניםזה מונע מהם להיפגם או "להשתבש" במהלך השמירה. זה מפחית בעיות בעת הגדרת התראות ושירותים אחרים המסתמכים על אימות SMTP.
שינויים כלליים וחבילת עדכוני מערכת
מעבר לתכונות הספציפיות, עדכון זה כולל שינויים בסיסיים במערכת וקבוצה גדולה של חבילות מעודכנותראשית, הדמון של D-Bus מוגדר כעת לפעול כברירת מחדל ב-IPFire, מה שסולל את הדרך לתכונות עתידיות שיסתמכו על תשתית העברת הודעות פנימית זו.
מערכת הבנייה initramfs מתפתחת גם היא: דראקוט מוחלף על ידי דראקוט-נגמאחר שהפרויקט המקורי ננטש על ידי רד האט, שינוי זה מבטיח תחזוקה אקטיבית ובסיס איתן יותר לתהליכי הפעלה ושחזור.
בין תכונות השירות החדשות, הוספת dma, כלי שנועד ליצור תיבות דואר מקומיות ולנהל דוא"ל בצורה קלת משקל, שימושי במיוחד במערכות שאינן דורשות MTA כבד אך דורשות פונקציונליות מסירה פנימית מסוימת.
ערימת ההצפנה מותאמת גם כדי להתאים את IPFire להמלצות הנוכחיות: חבילת הצפנת SSH מסתנכרנת עם רשתות במעלה הזרם ונותן עדיפות ל-AES-GCM על פני AES-CTR, ומעדיף כברירת מחדל מצבי אימות חזקים יותר.
זה גם מתוקן מצב מרוץ באכיפת כללי חומת אשבמערכת הקודמת, מערכת כללים שכבר הייתה קיימת הייתה יכולה להיעלם אם כלל אחר הוכנס בו זמנית. עם מערכת חדשה זו, הכללים נשארים עקביים גם עם שינויים תכופים במדיניות.
שינויים אחרים
בנוגע לקטלוג חבילות הליבה, עדכון ליבה 199 מעדכן רשימה ארוכה של רכיבים בסיסיים. אלה כוללים, בין היתר, coreutils 9.8, c-ares 1.34.5 (תוקן כנגד CVE-2025-31498), cURL 8.17.0 ו-BIND 9.20.16, עמודי יסוד עבור כלי עזר של המערכת וזיהוי שמות.
ספריות וכלים מרכזיים גם הם עוברים שדרוג, כגון boost 1.89.0, btrfs-progs 6.17.1, elfutils 0.194, expat 2.7.3 (עם תיקונים עבור CVE-2025-59375 ו-CVE-2024-8176), fmt 12.1.0, FUSE 3.17.4 ו-glib 2.86.0, מחזקים תאימות ואבטחה.
עדכונים כלולים harfbuzz 12.1.0, hwdata 0.400, iana-etc 20251030, iproute2 6.17.0, kbd 2.9.0, less 685, libarchive 3.8.2, libcap 2.77, libgpg-error 1.56, libxml2 2.15.1 ו-LVM2 2.03.36כולם רכיבים קריטיים לניהול מערכת, קונסולה, אחסון וניתוח נתונים.
חבילת כלי הבנייה והפיתוח מתעדכנת גם כן nasm 3.00, נינג'ה 1.13.1, פרוטובוף 33.0 וחלודה 1.85.0בינתיים, מסד הנתונים המוטמע ושירותי הרשת השונים שופרו הודות ל-SQLite 3.51.0, Suricata 8.0.2, suricata-reporter 0.5, strongSwan 6.0.3, unbound 1.24.1 ואחרים.
חבילת העדכון מושלמת על ידי מגוון כלי עזר של מערכת וניהול כגון sysvinit 3.14, udev 258, util-linux 2.41.2, vim 9.1.1854, whois 5.6.5, usbutils 019 ו-xfsprogs 6.17.0בנוסף ל"ניקויי קוד" מרובים הפרוסים לאורך הקוד, אשר משפרים את יכולת התחזוקה ומפחיתים חוב טכני.
תוספות: תכונות חדשות וגירסאות מעודכנות
גם המערכת האקולוגית של התוסף IPFire מתעדכנת, וכוללת תיקונים ותכונות חדשות במספר תוספיםאחד הכלים שמקבלים תשומת לב הוא arpwatch, שנועד לנטר שינויים בכתובות MAC ברשת.
באג שמנע מ-arpwatch שלחו את שם השולח הנכון בהודעות הדוא"לזה גרם לחלק מהשרתים לדחות את ההודעות הללו. יתר על כן, כתובות MAC מוצגות כעת תמיד ללא ריפוד, מה שמקל על קריאתן ומונע בלבול.
התוסף ffmpeg עודכן לגרסה גרסה 8.0 משלבת קישור חדש עם OpenSSL וספריית lameהודות לכך, IPFire יכול שוב להתמודד עם סטרימינג ממקורות חיצוניים דרך HTTPS וקידוד mp3 ללא בעיות, ובכך לשחזר יכולות סטרימינג שחלק מהמנהלים החמיצו.
יחד עם שינויים אלה, עודכנו חבילות נוספות רבות בתוך התוספים, כגון ClamAV 1.5.1, dnsdist 2.0.1, fetchmail 6.5.7, hostapd f747ae0, libmpdclient 2.23, mpd 0.24.5 ו- mympd 22.1.1, שיפור פונקציות אנטי-וירוס, DNS מתקדם, דוא"ל, שירותי מולטימדיה וניהול נקודות גישה.
קנה המידה של גרסה זו מבהיר ש-IPFire ממשיכה להמר על להרחיב את יכולות הרשת, לחזק את האבטחה ולשפר באופן מתמיד את חוויית הניהולהחל מה-WiFi מהדור החדש והנראות המשופרת עם LLDP/CDP, ועד לגרעין המודרני, ה-IPS האמין יותר, שיפורים ב-OpenVPN, ה-proxy המחוזק, תיקוני ממשק קטנים, ספריית החבילות המעודכנת ותוספים מורחבים, הכל מתאחד כדי להציע מערכת מהירה ומאובטחת יותר המוכנה לתרחישים מורכבים, תמיד מגובה על ידי קהילה וצוות הזקוקים לתמיכה כדי לעמוד בקצב האבולוציה הזה.