Software-update: IPFire 2.27 - Core Update 164

IPFire logo (79 pix) IPFire is een opensourcefirewall voor i586-, x86_64- en ARM-systemen. Het bevat onder andere een intrusion detection/prevention system, deelt het netwerk op in zones, doet stateful packet inspection en biedt vpn-mogelijkheden. Voor meer informatie verwijzen we naar deze pagina. De ontwikkelaars hebben versie 2.27 Core Update 164 uitgebracht voor productiesystemen. De bijbehorende aankondiging ziet er als volgt uit:

A New Kernel For IPFire

This update brings a new kernel for IPFire which is based on Linux 5.15. It comes with a large number of bug fixes, security fixes, and hardware support improvements. It brings improved performance for cryptographic operations on aarch64 and enables virtualisation support on this architecture, too.

Together with this new kernel, we are shipping the latest version of Intel's microcodes for various x86 processors fixing INTEL-SA-00528 and INTEL-SA-00532.

This release also patches the "Dirty Pipe" vulnerability (CVE-2022-0847), which has been discovered by Max Kellermann and allows overwriting data in arbitrary read-only files. This leads to privilege escalation because unprivileged processes can inject code into root processes.

Improved Firewall Capabilities

This update brings a couple of improvements for IPFire's firewall engine.

  • Dropping any hostile traffic: Our IPFire Location Database contains a list of networks that are considered "hostile" - a network nobody under any circumstance wants to communicate with at all like bullet-proof internet service providers or stolen/hijacked address space. This is enabled by default on new installations, but left disabled in this update. We strongly recommend for everyone to enable this on the Firewall Options page. Read more in a special post.
  • A better source routing validation is being performed: The firewall will now reject any packets from systems that it cannot reach according to its own routing table.
  • Packets that are not recognised by the connection tracking (because they might belong to an invalid connection) are now being logged to help with any debugging.
  • Extra logging has also been added for any spoofing attempts on the RED interface. If IPFire receives a packet with its own source IP address, this will be logged as a spoofing attempt.
  • Users will be able to monitor any firewall hits from spoofing in the graphs as well
  • In order to run a Tor relay whilst using the IPFire Location filter, any connections belonging to Tor will from now on not be checking the Location filter
Misc.
  • IPFire now hashes any passwords for system accounts using the YESCRYPT which is substantially stronger than the formerly used SHA512 (#12762)
  • URL Filter: The Shalla Secure Services and MESD blacklists have been removed, since they both have ceased service
  • Support for virtualisation on aarch64 with libvirt and KVM has been added
  • Pakfire is showing its status better on the web interface while installing updates or packages
  • Updated packages: expat 2.4.2, freetype 2.11.1, gdbm 1.20, hdparm 9.63, kmod 29, libxml2 2.9.12, libxslt 1.1.34, libusb 1.0.25, LVM2 2.02.188, pciutils 3.7.0, PCRE 2 10.39, perl-libwww 6.60, poppler-data 0.4.11, python3-setuptools 58.0.4, shadow 4.11.1, squid 5.4.1, tcl 8.6.12, zstd 1.5.1
Add-ons
  • A new package qemu-ga with QEMU's Guest Agent has been added. We recommend installing this on any system that runs in a virtualised KVM environment in order to integrate the system better with the hypervisor
  • Updated packages: ClamAV 0.104.2, dnsdist 1.7.0, libvirt 7.10.0, monit 5.30.0

Versienummer 2.27 - Core Update 164
Releasestatus Final
Besturingssystemen Linux
Website IPFire
Download https://www.ipfire.org/download/ipfire-2.27-core164
Licentietype Voorwaarden (GNU/BSD/etc.)

Reacties (25)

Wijzig sortering
Zijn er mensen die dit gebruiken?
Eenvoudig in te stellen?
Of alles via cli?
Ik gebruik het. Je heb tal van mogelijkheden en addons. Ben er zelf erg blij mee. Ben zoals een onderstaande tweakers overstapt is naar opnsense ben ik juist naar deze distro gestapt ivm de simpelheid en leuke development team. Ben zelf ook al een tijdje bezig met actieve development voor deze distro en er zit heel veel leven in, Leuk team !
Vraag het me ook af, ziet er oke uit
Lang gebruikt, maar overgestapt naar opnsense.
Werkte prima, maar destijds (weet niet of dat nu nog zo is) kon ik geen vlan instellen
Nu kan je wel vlan instellen. ik wilde dit met tweak proberen, maar ik had de verkeerde hardware in huis gehaald. Nu heb ik Freedom in huis, moet alweer nieuwe hardware halen, maar benieuwd of ik ipfire voor Freedom kan gebruiken. Ik heb het met pfsense geprobeerd, maar dit viel zwaar tegen. Ik gebruik nu een router van Freedom voor internet. Het bevalt goed. Maar toch wil ik iets anders gebruiken.
Draai zelf een micro pc met 6 lan poorten, i5.
Vroeger ipfire, makkelijk in te stellen interface, maar bepaalde limitaties tov pf/opnsense.

Maar alle drie (mits goed ingesteld) beter dan provider router...
Tegen welke beperkingen liep je aan bij ipfire?
Toen ik IPFire nog gebruikte, dat is inmiddels jaar of 3-4 geleden:
- Maximaal 4 interfaces, nu ik 4 VLAN's aan de LAN kant heb en aan de WAN kant 2 (IPv4 + IPv6-tunnel) is dat een probleem.
- Toen beperkte ondersteuning VLAN, kon alleen op de console gedaan worden, geen idee hoe het nu is
- Geen ondersteuning IPv6, al heb ik het wel werkend weten te krijgen (incl ip6tables firewall en diy radvd addon), de howto die ik had geschreven is echter samen met het oude IPFire forum naar /dev/null gegaan en de info staat geloof ik niet meer op IPFire's wiki
- Selfdestruct: Het updaten ging een keer mis door te weinig schijfruimte (waar IPFire blijkbaar geen check voor heeft), rollback ging niet goed, waardoor ik met een behoorlijk kreupele install zat, sindsdien gebruik ik Debian als router :)

[Reactie gewijzigd door Raven op 12 maart 2022 10:20]

Debian als router? Hoe is dit mogelijk?
Ik heb zelf Debian ook als router+NAS draaien. Je exacte configuratie is afhankelijk van je provider, natuurlijk, maar mijn setup is eigenlijk dit:

- Firehol as firewall (echt een stuk makkelijker dan handmatig iptables-regels genereren)
- radvd om IPv6 SLAAC werkend te krijgen (4 regels config, maar moet wel gebeuren)
- isc-dhcp-server als DHCP-server
- Een pihole virtual machine als DNS-server, met een dnsmasq DNS-server op de router zodat de router nog goed werkt als de pihole zou falen
- Ik heb een Fritz repeater gekocht die als mijn WiFi-access point dient, omdat veel netwerkkaarten die in Linuxbakken zitten niet de snelheid en range hebben van de dedicated toegangspunten

Je zou de DHCP-server kunnen overslaan door de pihole dat werk te laten doen. Ik geloof dat je in plaats van radvd ook nog de pihole DHCPV6 kan laten draaien (maar dat vind ik een stom protocol dus ik gebruik het niet).

Het voordeel aan deze setup is het complete beheer van je netwerk. Het overduidelijke nadeel is dat je geen GUI hebt. Firehol maakt routers en NAT een stuk makkelijker dan handmatig de nodige Iptables commando's bedenken, maar het blijft tekstconfiguratie.

Als je nog nooit op een server een firewall beheerd hebt, zou ik dit absoluut niet aanraden. Ik zou in plaats daarvan een virtual machine maken met pfsense/opnsense, alle netwerkinterfaces direct doorsturen (via PCIe als dat kan) en de VM met de prettige webinterface het beheer laten doen.

De enige reden dat ik dat niet deed is omdat de verouderde i3 in mijn server zo'n 100 mbit van mijn gigabitlijn afsnoepte omdat 'ie het niet aankon. Moderne CPU's zouden hier een stuk beter voor moeten zijn.

Mocht pfsense/opnsense niet jouw stijl zijn, dan kun je ook nog voor openwrt-doosjes gaan die voorgeconfigureerd worden verkocht door sommige bedrijven. Ik zou dan wel voor een doosje van een echt bedrijf gaan, niet zomaar eentje op Aliexpres kopen, want je wilt wel updates natuurlijk.

[Reactie gewijzigd door GertMenkel op 12 maart 2022 15:56]

Ik zat net te Googlen naar Firehol, die houd zo te zien geen rekening met de overstap in Debian van iptables naar nftables :/
Ja, het is al een tijdje niet meer goed onderhouden. Ik heb na de laatste Debian-update volgens de handleiding van Debian de compatibility mode aangezet die zorgt dat het geheel nog werkt.

Ik hoop dat iemand met kennis van het geheel er aandacht aan kan besteden om firehol nftables te kunnen laten gebruiken, maar ik ga er van uit dat het helaas nog wel even kan duren voordat dat gebeurt.
1. Doe een kale install van Debian, GUI niet nodig, installeer ssh-server voor beheer (zie bijv. https://linuxhint.com/enable-ssh-server-debian/ )
2. Uncomment de twee forwarding opties in het sysctl.conf bestand (zie https://www.eukhost.com/k...rding-on-linux-ipv4-ipv6/ , ctrl+F Permanent Activation)
3. Netwerkkaarten instellen: kun je pakket network-manager voor gebruiken, nmcli voor commando's en nmtui voor DOS-achtig menu. Voor VLAN ondersteuning pakket vlan installeren, VLANs aanmaken/beheren kan dan via eerder genoemde nmcli en nmtui
4. installeer een DHCP-server en stel die in, zie bijv. https://tecadmin.net/install-dhcp-server-in-ubuntu/
5. Firewall: In het geval van iptables zijn er meer dan genoeg voorbeelden te vinden, met een beetje mazzel hoef je alleen de netwerkinterface namen aan te passen, opvolger nftables (die ik gebruik) heeft volgens mij nog geen kant en klare te gebruiken voorbeelden beschikbaar.
6. Herstart, klaar :)

[Reactie gewijzigd door Raven op 12 maart 2022 12:08]

Doe ik in bepaalde setups al meer dan 20 jaar. Inderdaad leuk omeschreven hier...
Toen destijds nog slackware... ;)
Heb ook jaren een debian router gehad. Wel ondertussen al overgestapt naar pfsense voor het gemak.

Hele dag in netwerk configs op de job, dan mag het thuis wat simpeler
Bedankt voor je uitgebreide reactie! Ik snap het. Ik krijg binnenkort glasvezel (hopelijk tweak!) dus vandaar dat ik me op dit soort dingen aan het oriënteren ben
Ik moet eerlijk zeggen dat die instructies echt geen recht doen aan de complexiteit van een op te tuigen netwerk

Heb je bijvoorbeeld iptv of telefnie dan mag je al weer tal van zaken anders gaan doen of wat denk je van beveiliging het zomaar draaien van een onbeveiligde dhcp kan óók zorgen dat een atacker een malafide dnsserver op je netwerk kan instellen met packetinjections of phishing tot mogelijke gevolgen

Dan zijn pfsense ipfire of zelfs openwrt een stuk beter in te zetten

[Reactie gewijzigd door i-chat op 12 maart 2022 14:19]

Er is een topic voor: Zelfbouw project: Firewall / Router / AP
Mocht je - of iemand anders - vragen hebben, geef daar maar een gil ;)

edit: Oh wacht, dat was een reactie op mijn IPFire bericht, ik dacht die over Debian.

[Reactie gewijzigd door Raven op 12 maart 2022 17:54]

Top! Dankjewel! Ging inderdaad op mobiel iets mis met reageren op het juiste bericht.
Waar ging het mis met pfSense? Daar kan je toch praktisch wel alles mee, ontzettend krachtige software. Ben benieuwd, wellicht kunnen we je helpen.
Het ging mis omdat ik te nieuwe hardware gebruikte. Ik gebruikte als moederbord een asrock H570 met dubbele netwerkkaart, en ipfire herkende 1 van die netwerkkaart niet, namelijk een realtek. Maar dat was bij Tweak. Nu zit ik bij Freedom. Ik ben van plan om weer ipfire te gaan gebruiken, maar nu moet ik het juiste onderdelen uitkiezen en de juiste gegevens van freedom in ipfire verwerken. dus ergens een mooie projectje.
Het feit dat je een van de providers de “Schuld” gaf of überhaupt benoemt bij issues met een netwerkkaart laat eigenlijk al zien dat je misschien beter af bent met een kant-en-klaar product

Voor de meeste mensen vraag ik me ook oprecht af of er wel meerwaarde te verzinnen is om bij Freedom internet te kiezen voor eigen modem keuze, ze gebruiken immers al vrij aardige hardware, De besparing is gering en het heeft een wel heeeeel hoog knutselgehalte

Als je in deze bijvoorbeeld kiest voor een mediaconverter in plaats van het modem/routerkastje hebt je niet ineens minder stekkers

Het zou natuurlijk vet zijn om gewoon een pcie kaartje in je systeem te prikken samen met nog een multiport 10ge of desnoods 5ge port-adapter in te zetten als core router voor je netwerk al dan niet tezamen met een aantal leuke vms (of dockers) voor je eigen servertjes

Meestal is het vrij snel goedkoper en niet trager om gewoon bestaande hardware in te zetten op een zo dom mogelijke manieren (dus als ntu/managed switch ipv modem/router/accesspoint
Hier kan ik het eigenlijk alleen maar mee eens zijn. Ik heb een tijdje met een gevirtualiseerde pfsense gedraait. Hoewel dat prima ging heb ik nu toch weer een losse router. Het is niet de met de provider meegeleverde, maar een van Ubiquity. Als je niet in dat ecosysteem zit zou je wellicht voor microtik kunnen kiezen als je toch heel graag een custom oplossing wil. Bij Freedom krijg je toch een FritzBox? Volgens mij is dat best een prima apparaat.

Edit:
Het zou natuurlijk vet zijn om gewoon een pcie kaartje in je systeem te prikken samen met nog een multiport 10ge of desnoods 5ge port-adapter in te zetten als core router voor je netwerk al dan niet tezamen met een aantal leuke vms (of dockers) voor je eigen servertjes
Zoiets? https://mikrotik.com/product/ccr2004_1g_2xs_pcie

[Reactie gewijzigd door Caviatjuh op 12 maart 2022 14:18]

Dat of draytek die ook vrij aardig spul leveren

Ik denk dat het spul van AVM vooral heel handig gaat zijn voor de iets goedkopere thuisoplossing

Een fritzbox en één of meerdere via kabel aangesloten accesspoints zouden je huis al vrij snel van stabiel en snel wifi kunnen voorzien

Als je beter spul wilt dan zijn ubiquity en microtik goede opties maar dan zit je wel meer in een ecosysteem vast
Die kaart is inderdaad wel heul vet. Sameni met een dual- of quadport 5ge kaart van bijvoorbeeld intel zou je heel ver kunnen komen

Ik noem dan even een 16core ryzen/treadtipper systeem met een hoop ram en je heb bijna een lan-in-a-box

Met dan multigbit backhauls

[Reactie gewijzigd door i-chat op 12 maart 2022 15:57]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee