pfSense 2.2.6

pfSense logo (75 pix) Er is een update voor versie 2.2 van pfSense is uitgekomen. Dit pakket is gebaseerd op het besturingssysteem FreeBSD en richt zich op router- en firewall-taken. Het is in 2004 begonnen als een afsplitsing van m0n0wall vanwege verschillende visies bij de ontwikkelaars en in de loop van de jaren uitgegroeid tot een router- en firewallpakket dat in zowel kleine als zeer grote omgevingen kan worden ingezet. Voor meer informatie verwijzen we naar deze pagina. De changelog voor pfSense 2.2.6 ziet er als volgt uit:

Security Fixes and Errata

pfSense-SA-15_09.webgui: Local File Inclusion Vulnerability in the pfSense WebGUI

pfSense-SA-15_10.captiveportal: SQL Injection Vulnerability in the pfSense captive portal logout

pfSense-SA-15_11.webgui: Multiple XSS and CSRF Vulnerabilities in the pfSense WebGUI

Updated to FreeBSD 10.1-RELEASE-p25

FreeBSD-SA-15:26.openssl Multiple vulnerabilities in OpenSSL

Updated strongSwan to 5.3.5_2

Includes fix for CVE-2015-8023 authentication bypass vulnerability in the eap-mschapv2 plugin.

Bug Fixes and Change List

The bug fixes and changes in this release are detailed here.

pfSense screenshot (620 pix)

Lees meer

Reacties (18)

GoldenBE 23 december 2015 18:11

Eigenlijk wat geschrokken van de vurnabilities, gelukkig zijn ze gefixt. En het is niet dat router fabrikanten het veel beter doen xD Als ik genoeg hardware had liggen had ik al lang een pfsene boxje gebouwt maar het is wat duur als ik alle onderdelen nog moet kopen.

[Reactie gewijzigd door GoldenBE op 24 juli 2024 04:54]

Hakker @GoldenBE • 23 december 2015 18:22

Hoezo? Je kan de hele webgui standard niet eens vanaf internet benaderen en alleen maar local. Als je de webgui via internet benaderbaar maakt ben je zowieso al niet al te snugger bezig.

BlackMage @Hakker • 23 december 2015 18:36

PfSense wordt veel gebruikt voor captive portals in kleinere bedrijfjes (zo'n pagina waar je moet inloggen of een code moet invoeren voordat je een publiek wifi netwerk op kan). Die SQL injection bug is dan levensgevaarlijk.

De webgui is ook standaard via alle vlans/LAN networks te benaderen tenzij je specifiek er iets aan doet. Dat is inclusief de vlan voor je publieke captive portal netwerkje.

mcchicken @BlackMage • 23 december 2015 19:23

De webgui is standaard alleen via LAN benaderbaar d.m.v. de anti-lockout rule! Nieuwe interfaces zul je zelf regels voor aan moeten maken.

edit: er zit standaard ook een 'allow any' op het LAN

[Reactie gewijzigd door mcchicken op 24 juli 2024 04:54]

BlackMage @mcchicken • 23 december 2015 19:32

Misschien ligt het dan aan mij

maar als ik niks doe dan gaan mijn andere LAN interfaces gewoon toegang geven tot de webgui. Ik heb specifiek poorten 80, 443 en 8000 (op niet-captive portal lans) moeten blokkeren om dit uit te schakelen.

Op je primaire LAN heb je (als je dit niet uitzet) inderdaad de anti-lockout rule die altijd bovenaan staat. Maar die voorkomt dat je de toegang tot de webgui perongeluk blokkeerd via een andere rule. Als je die uitzet heb je gewoon toegang tenzij je een block of reject rule aanmaakt..... toch?

mcchicken @BlackMage • 23 december 2015 20:15

Op een nieuwe interface zit geen regel dus alles is block.

Maar je moet een regel aanmaken om te internetten dus zet je wat open en dus ook naar je firewall (GUI). Wees er dus altijd bewust van wat je open zet.

Ik zou op een 'gasten' netwerk beginnen met 1 allow regel voor DNS en evt. NTP naar buiten en/of je firewall. Daarna BLOCK alle RFC1918 adressen zodat je ook toekomstige interfaces afgeschermd hebt en die niet per ongeluk vergeet te blokkeren. Als alles dicht staat naar je LAN interfaces en segmenten kun je alles open gooien naar buiten

BlackMage @mcchicken • 23 december 2015 21:14

Zonder firewall regel routeert ie niks. Maar aangezien de webgui gewoon luistert op het ip van dat subnet op die lan interface hoeft ie niks te routeren.

dehardstyler @GoldenBE • 23 december 2015 19:20

Ben nu ook bezig met een Pfsense projectje. Ik gebruik er een Watchguard XTM 505 voor, misschien is dat ook iets voor jou?

mcchicken @dehardstyler • 23 december 2015 20:23

Een PC Engines bordje volstaat prima voor de gemiddelde thuis gebruiker of kleine kantoren. Als je meer nodig hebt kun je ook zelf een systeem samen stellen met b.v. een Super Micro 1u rack servertje.

dehardstyler @mcchicken • 24 december 2015 16:43

Ja dat is inderdaad wel zo. Ik had het geluk dat mijn Watchguard gratis was.

Gijs007 @GoldenBE • 23 december 2015 18:12

Als de webgui niet via internet te benaderen is, was er niks aan de hand bij pfSense.

ianh016 @Gijs007 • 23 december 2015 18:18

Dan zet je dit toch gewoon uit? d.m.v het veranderen van de poort, en een firewall rule kan je al het verkeer zo blokkeren

Gijs007 @ianh016 • 23 december 2015 18:19

Yup, dat zeg ik toch?

tc-t 23 december 2015 19:13

Hoe verhoudt zo'n pfSense zich tot IPCop?
Die laatste gebruik ik zelf al jaren, en heb ik nooit echt problemen mee gehad.
Ik heb wel het idee dat de ontwikkeling daar wat stil staat (geen IPV6 bv - hoe zit dat met pfSense?)

bv tussen de laatste update van IPCop (2.1.9 van 23 feb 2015) en vandaag zijn er 6 updates van pfSense uitgekomen.

Ik heb me dus wel eens afgevraagd of ik mijn iPCop niet beter door pfSense ofzo zou vervangen maar om een of andere reden komt het er nooit van.
(Of eventueel een ander produkt...)

Heeft er iemand ervaring met beide produkten om daar een goed advies over tegeven (bij vergelijkingen elders kom ik voornamelijk fanboys van het ene of het andere tegen, heb zelden echt goeie argumenten gehoord)

[Reactie gewijzigd door tc-t op 24 juli 2024 04:54]

Yagermeister @tc-t • 23 december 2015 19:50

Bij mijn oude werkgever hadden we beide in gebruik waarbij ik wel moet zeggen dat IPCop toen nog op versie 1 was en hetzelfde voor PfSense. Daarbij had ik altijd de indruk dat pfsense vele malen makkelijker te beheren was dan ipcop omdat voor sommige dingen je echt op de shell moest zijn om de aanpassingen te doen.

Voor zover bekend is er nu alleen nog maar pfsense in gebruik omdat de ipcop's gewoon te lastig in onderhoud waren hierdoor.

Zelf gebruik ik bij mijn huidige werkgever ook gewoon weer pfsense voor het gemak ervan.

MadEgg @tc-t • 23 december 2015 20:08

Geen ervaring met IPCop, wel met pfSense. Je specifieke vraag kan beantwoorden: pfSense werkt prima met IPv6. Op mijn werk hebben we hem draaien met een IPv6 tunnel. Eenvoudig te configureren en goed te beheren. Net als alles met pfSense overigens; krachtig maar toch eenvoudig te beheren. Wmb een aanrader.

terradrone

@tc-t • 24 december 2015 11:45

pfsense is bsd based en werkt op bsd´s packet filter : http://pfsensesetup.com/packet-filter-the-engine-of-pfsense/

dus pfsense is bsd met packet filter vs ipcop wat op linux draait. Zijn letterlijk compleet verschillende systemen.

apronk 23 december 2015 20:52

Deze update plet inderdaad wat bugs die in 2.2.5 zijn geintroduceerd v.w.t. IPsec authenticatie afhandelingen.

Op dit item kan niet meer gereageerd worden.

Versienummer	2.2.6
Releasestatus	Final
Besturingssystemen	BSD
Website	pfSense Digest
Download	https://www.pfsense.org/download/
Licentietype	Voorwaarden (GNU/BSD/etc.)

06-09	pfSense CE 2.8.1	6
29-05	pfSense CE 2.8.0	13
06-04	pfSense CE 2.8 bèta	16
12-'23	pfSense CE 2.7.2	4
11-'23	pfSense CE 2.7.1	3
06-'23	pfSense CE 2.7.0	15
02-'22	pfSense 2.6.0	10
07-'21	pfSense 2.5.2	17
04-'21	pfSense 2.5.1	14
02-'21	pfSense 2.5.0	55

Software-update: pfSense 2.2.6

Update-historie

Lees meer

Reacties (18)

Update-historie

Lees meer

Reacties (18)

Sorteer op:

Weergave: