Выпуск дыстрыбутыва для стварэння міжсеткавых экранаў OPNsense 26.7

Апублікаваны рэліз дыстрыбутыва для стварэння міжсеткавых экранаў OPNsense 26.7/2015, які ў 490 годзе аддзяліўся ад праекта pfSense з мэтай распрацоўкі цалкам адкрытага дыстрыбутыва, які мог бы валодаць функцыянальнасцю на ўзроўні камерцыйных рашэнняў для разгортвання міжсеткавых экранаў і сеткавых шлюзаў. У адрозненне ад pfSense праект пазіцыянуецца як непадкантрольны адной кампаніі, які развіваецца пры непасрэдным удзеле супольнасці і які валодае цалкам празрыстым працэсам распрацоўкі, а таксама які прадстаўляе магчымасць выкарыстання любых сваіх напрацовак у іншых прадуктах, у тым ліку камерцыйных. Зыходныя тэксты кампанентаў дыстрыбутыва, а таксама выкарыстоўваныя для зборкі прылады, распаўсюджваюцца пад ліцэнзіяй BSD. Зборкі падрыхтаваны ў форме LiveCD і сістэмнай выявы для запісу на Flash-назапашвальнікі (XNUMX МБ).

Начынне дыстрыбутыва засноўваецца на кодзе FreeBSD. Сярод магчымасцяў OPNsense: цалкам адчынены зборачны інструментар, падтрымка ўсталёўкі ў форме пакетаў па-над звычайным FreeBSD, сродкі балансавання нагрузкі, web-інтэрфейс для арганізацыі падлучэння карыстачоў да сеткі (Captive portal), наяўнасць механізмаў адсочвання станаў злучэнняў (stateful firewall на аснове pf), сістэма абмежавання прапускной здольнасці, фільтраванне трафіку OpenVPN і PPTP, інтэграцыя з LDAP і RADIUS, падтрымка DDNS (Dynamic DNS), сістэма наглядных справаздач і графікаў.

На базе дыстрыбутыва могуць стварацца адмоваўстойлівыя канфігурацыі, заснаваныя на выкарыстанні пратаколу CARP і якія дазваляюць запусціць апроч асноўнага міжсеткавага экрана запасны вузел, які будзе аўтаматычна сінхранізаваны на ўзроўні канфігурацыі і прымет на сябе нагрузку ў выпадку збою першаснага вузла. Для адміністратара прапануецца web-інтэрфейс для налады міжсеткавага экрана, пабудаваны з выкарыстаннем web-фрэймворка Bootstrap і Phalcon MVC.

Сярод змен:

  • Ажыццёўлены пераход на кодавую базу FreeBSD 15.1 (раней выкарыстоўваўся FreeBSD 14.3).
  • Інтэрфейсы для налады правіл міжсеткавых экранаў, прызначэнні сеткавых інтэрфейсаў (падзел паміж LAN і WAN) і кіраванні групамі шлюзаў перакладзеныя на выкарыстанне MVC-фрэймворка і зараз дадаткова даступныя праз Web API для аўтаматызацыі кіравання сеткавай канфігурацыяй.
  • Дададзены майстар для міграцыі правіл трансляцыі адрасоў са старога фармату канфігурацыі Outbound NAT на новы фармат, які выкарыстоўвае архітэктуру Source NAT (SNAT).
  • У канфігуратар KEA DHCP дададзеная падтрымка DDNS (Dynamic) і аўтаматычнага вылучэння прэфіксаў IPv6 (блокаў адрасоў).
  • У Captive portal дададзена падтрымка IPv6.
  • Абноўлены версіі OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Ухіленая крытычная ўразлівасць (CVE-2026-57155, узровень небяспекі 9.9 з 10), якая дазваляе непрывілеяванаму карыстачу без доступу да shell і абмежаванаму працай з аліясамі (спісы з імёнамі сетак і хастоў), выканаць код з правамі root. Уразлівасць выклікана адсутнасцю належных праверак пры апрацоўцы дадзеных з БД GeoIP c прывязкай краін да IP-адрасоў.

    Код краіны з БД GeoIP без праверкі падстаўляўся пры фармаванні запісванага імя файла, што дазваляла перазапісаць любы файл у сістэме, бо апрацоўшчык запускаецца з правамі root. Праз Web API непрывілеяваны карыстач мог паказаць свой URL для загрузкі мадыфікаванай БД GeoIP для аліасаў. Для атрымання правоў root у адной з запісаў у БД замест кода краіны можна паказаць "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn", што прывядзе да стварэння файла канфігурацыі для сістэмы ратацыі логаў, у якім могуць быць вызначаны каманды, за якім могуць быць вызначаны каманды,

Крыніца: opennet.ru

Купіць надзейны хостынг для сайтаў з абаронай ад DDoS, VPS VDS серверы 🔥 Купіць надзейны хостынг для сайтаў з абаронай ад DDoS, VPS VDS серверы | ProHoster