Software-update: IPFire 2.27 - Core Update 168

IPFire logo (79 pix) IPFire is een opensourcefirewall voor i586-, x86_64- en ARM-systemen. Het bevat onder andere een intrusion detection/prevention system, deelt het netwerk op in zones, doet stateful packet inspection en biedt vpn-mogelijkheden. Voor meer informatie verwijzen we naar deze pagina. De ontwikkelaars hebben versie 2.27 Core Update 168 uitgebracht voor productiesystemen. De bijbehorende aankondigingen zien er als volgt uit:

IPFire 2.27 - Core Update 168 released

Another update of IPFire is ready: IPFire 2.27 - Core Update 168. It comes with significant improvements to the Intrusion Prevention System (IPS), various security improvements, an updated version of Linux' firmware bundle, as well as a heap of updated packages and bug fixes.

Heads up! IPFire running on software RAIDs will need to rebuild their RAIDs. It is possible, that the RAID was damaged since the last update due to failure to initialise it correctly at boot time (#12862). Systems affected by this problem, would have run just fine, but without the RAID. During the installation of this update, the RAID will be fixed. For that, a reboot is required after installing the update, and it might be necessary to be able to boot from the secondary RAID device.

Intrusion Prevention System improvements

Stefan contributed a patch series for notably improving the IPS, particularly when it comes to handling of ruleset providers. While many of the changes are done under the hood, the following are visible to the web interface:

  • Monitoring mode can now be enabled for each ruleset provider individually. This makes baselining and testing much less of a hassle, since newly introduced IPS ruleset providers can now first be used for logging only, without risking disruptions or unintended side-effects.
  • Parsing and restructuring changed or updated rulesets has been improved and is now faster by orders of magnitude.
  • The downloader will now automatically check whether a ruleset has been updated on its providers' server by checking the ETag HTTP header. This allows us to drop the update interval selection; every IPS ruleset will now updated automatically on the appropriate interval.
3rd party firmware updates

linux-firmware, the conglomerate of 3rd party firmware required for all sorts of hardware has been updated. Similar to a kernel update, this brings support for new devices requiring proprietary firmware, fixes bugs and plugs some security holes.

Firmware for APU borards has been updated as well, finally enabling their hardware-based random number generator to work properly. On APU-based IPFire installations, this will speed up cryptography operations (such as VPN traffic handling) a lot.

Security improvements
  • IPFire now drops any packet that is received on a different interface than it would have been routed back to. This thwarts entire classes of network spoofing attacks, particularly originating from or targeting internal networks.
  • OpenSSH has been updated to 9.0p1, introducing (among other changes) quantum-resistant cryptography. IPFire's custom OpenSSH configuration has been updated to make use of it. Also, spoofable TCP-based keep-alive messages are no longer sent, preventing MITM attackers to force-keep an established SSH connection opened.
  • As a defense-in-depth measure, various file permissions have been tightened to prevent any unprivileged attacker from reading potentially sensitive configuration on an IPFire installation.
Miscellaneous
  • CUPS configuration is now properly processed while creating backups and restoring them.
  • Various CGIs received fixes for HTML syntax validity and solving bugs, most notably the Pakfire CGI.
  • Unnecessary vnstat calls have been removed from initscripts.
  • All firewall rules required for IPsec N2N connections are now properly set up again after a tunnel comes up, resolving #12866.
  • Updated packages: bind 9.16.28, curl 7.83.0, efibootmgr 17, expat 2.4.8, freetype 2.12.1, fribidi 1.0.12, harfbuzz 4.2.0, iana-etc 20220414, intel-microcode 20220510, ipset 7.15, knot 3.1.7, libaio 0.3.113, libcap 2.64, libcap-ng 0.8.3, libgcrypt 1.10.1, libhtp 0.5.40, libinih r55, libmnl 1.0.5, libnfnetlink 1.0.2, linux-firmware 20220411, logwatch 7.6, man 2.10.2, man-pages 5.13, meson 0.62.1, mpfr 4.1.0 (plus additional upstream patches), multipath-tools 0.8.9, nano 6.3, nasm 2.15.05, openjpeg 2.4.0, openldap 2.6.1, OpenSSH 9.0p1, OpenSSL 1.1.1o, OpenVPN 2.5.6, pango 1.50.6, pciutils 3.0.8, pcre2 10.40, perl-libwww 6.62, poppler 22.04.0, procps 4.0.0, strongswan 5.9.6, sqlite 3380300, Squid 5.5, Suricata 5.0.9, vnstat 2.9, whois 5.5.13
  • Updated add-ons: bird 2.0.9, borgbackup 1.2.0, dbus 1.14.0, git 2.36.0, haproxy 2.5.5, hplip 3.22.4, ipvsadm 1.31, keepalived 2.2.7, lcdproc 0.5.9, libseccomp 2.5.4, lynis 3.0.7, mc 4.8.28, mcelog 181, mpc 0.34, mpd 0.23.6, mtr 0.95, ncdu 1.17, nfs 2.6.1, nginx 1.20.2, nut 2.8.0, oci-cli 3.7.3, oci-python-sdk 2.64.0, openvmtools 12.0.0, parted 3.5, pcengines-apu-firmware 4.16.0.3, Postfix 3.7.1, powertop 2.14, python3-botocore 1.24.37,python3-charset-vomailzer 2.0.12, python3-click 8.1.2, python3-flit 3.7.1, python3-jmespath 1.0.0, python3-pyparsing 3.0.7, python3-pytz 2022.1, python3-s3transfer 0.5.2, python3-semantic-version 2.9.0, python3-setuptools-rust 1.2.0, python3-setuptools-scm 6.4.2, python3-tomli 2.0.1, python3-typing-extensions 4.1.1, python3-urllib3 1.26.9, rsync 3.2.4, samba 4.16.0, sdl2 2.0.22, spectre-meltdown-checker 0.45, strace 5.17, stress 1.0.5, stunnel 5.63, Tor 0.4.7.7, tshark 3.6.3
  • Any changes to the system cron table will be lost during this update, but any custom scripts in /etc/fcron.* will remain in place.

Versienummer 2.27 - Core Update 168
Releasestatus Final
Besturingssystemen Linux
Website IPFire
Download https://www.ipfire.org/download/ipfire-2.27-core168
Licentietype Voorwaarden (GNU/BSD/etc.)

Reacties (16)

16
16
7
0
0
3
Wijzig sortering
Belangrijk nadeel van IPFire is dat ze nog steeds geen IPv6 ondersteunen!
Van wat ik lees komt IPv6 ondersteuning pas in IPFire 3.

Dat is laat, en een risico (nieuwe implementatie, nieuwe bugs). OPNSense (of pfSense) is bijvoorbeeld de betere keuze als je van IPv6 afhankelijk bent.
Of gewoon de betere keuze
Ik ben al jarenlange trouwe gebruiker van pfSense, maar ik blijf BSD toch nog wel een nadeel vinden.
Ik zou oprecht geld betalen voor een firewall met de opties/ui/stabiliteit van pfSense, maar dan op een Linux kernel. Een van de redenen is dat ik ook graag Docker containers zou willen draaien voor bijvoorbeeld het blokkeren van advertenties (piHole), en dat kan niet op BSD.
Ik weet dat er alternatieve manieren zijn om advertenties te blokkeren op pfSense, maar die zijn lang niet zo gebruikersvriendelijk als piHole.

IPFire stond ook op mijn longlist, maar de UI ziet er nog steeds zo spartaans uit dat ik nog wel even bij pfSense blijf :)
AdGuard Home heeft een BSD binary.
Deze kan je dus "gewoon" installeren op je (bare metal) pfSense box.

https://broadbandforum.co...d-home-on-pfsense.205884/

[Reactie gewijzigd door WRT54G op 17 juni 2022 13:34]

Hmm, grappige optie, die kende ik nog niet!
Ik gebruik AGH zeker meer dan een jaar en erg tevreden. Hiervoor een “diehard” Pihole gebruiker. Beide hebben z’n pro’s en con’s. Maar een pro voor AGH is zeker dat het een losse binary is die je “overal” kan draaien en dus ook op BSD.
Werkt perfect hier op OPNSense!
Ik zou oprecht geld betalen voor een firewall met de opties/ui/stabiliteit van pfSense, maar dan op een Linux kernel. Een van de redenen is dat ik ook graag Docker containers zou willen draaien voor bijvoorbeeld het blokkeren van advertenties (piHole), en dat kan niet op BSD.
Ik weet dat er alternatieve manieren zijn om advertenties te blokkeren op pfSense, maar die zijn lang niet zo gebruikersvriendelijk als piHole.
Waarom virtualiseer je pfSense en al het andere dat je wilt niet?

[Reactie gewijzigd door The Zep Man op 17 juni 2022 13:06]

Omdat dat de complexiteit extreem verhoogt, ik draai nu pfSense bare-metal op een Odroid H2.
Ik wil gewoon graag dat het werkt, en ik er weinig omkijken naar heb. Als ik ga virtualiseren zal ik iets als Proxmox of Debian native moeten draaien, icm een complexere netwerk setup met nested netwerkkaarten en een lastige VLAN setup. En het geheel moet ook nog gepatched en onderhouden worden.
Omdat dat de complexiteit extreem verhoogt,
Met meerdere systemen (wat jij wilt) verhoog je sowieso de complexiteit. Doe het dan meteen goed.

[Reactie gewijzigd door The Zep Man op 17 juni 2022 13:35]

Als de firewall het main OS is, en Docker een 'extra' is, kan die prima uitvallen. Dan zorg ik via failover DNS dat als de piHole container uitvalt, de dns gewoon direct het internet op gestuurd wordt.
Dat maakt het systeem een stuk betrouwbaarder. En 'goed' in de zin waarin jij het (denk ik) bedoeld is niet perse beter voor alle use-cases.
wait, whut? Is daar dan een reden voor?
Wat? Serieus? In 2022? Ik heb IPFire wel eens op een longlist gehad maar zonder IPv6 hadden ze zeker nooit de shortlist gehaald.
@Zorc En het mooiste komt nog: ik had jaren terug (2014 geloof ik) een tutorial geschreven om IPv6 aan de gang te krijgen op IPFire, incl radvd en ip6tables. De info die ik in een forumtopic had geschreven werd toen ook op de wiki van IPFire gezet.

Het oude IPFire forum werd een paar jaar terug zonder waarschuwing (via email) ge-shift-delete en mijn info staat ook niet meer op de wiki van IPFire.

Het oude forum staat helaas niet in het webarchief, de wikipagina zo te zien wel:
https://web.archive.org/w...rg/en/add-ipv6/ipv6/start

Mijn stappen staan onder:
activate ipv6 at kernel level
configure router announcements for ipv6 SLAAC
ipv6 firewall

.... de info over hoe een HE-tunnel op te zetten zie ik niet zo gauw staan, maar de commando's daarvoor kun je copypasten van de tunnelaanbieder en in rc.local zetten.

[Reactie gewijzigd door Raven op 17 juni 2022 15:14]

Deze distro 2 jaar geleden in een lab setup getest maar besloten om deze niet te gebruiken waar dan ook.

Ik kwam ter ontdekking dat de output van lsof verschilde van de ss/netstat output. De makers hiervan op de hoogte gesteld maar daar werd vrij laconiek op gereageerd op de forums.

Als je toch met een distro wilt spelen/werken voor als firewall/router gebruik dan het Nederlandse open project OPNsense. Veel meer compleet en kan bijna alles wel.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee