Frigivelse af distributionssættet til oprettelse af firewalls OPNsense 26.7

OPNsense 26.7-firewall-distributionen er blevet frigivet. Den blev udgivet fra pfSense-projektet i 2015 med det formål at udvikle en fuldstændig open source-distribution, der kunne have samme funktionalitet som kommercielle firewall- og gateway-løsninger. I modsætning til pfSense er projektet positioneret som ikke kontrolleret af en enkelt virksomhed, udviklet med direkte deltagelse af fællesskabet og har en fuldstændig gennemsigtig udviklingsproces, samt giver mulighed for at bruge enhver af dens udviklinger i tredjepartsprodukter, bl.a. kommercielle. Kildekoden til distributionskomponenterne samt de værktøjer, der bruges til montering, distribueres under BSD-licensen. Samlingerne er forberedt i form af LiveCD og et systembillede til optagelse på Flash-drev (490 MB).

Distributionens kerne er baseret på FreeBSD-kode. OPNsense-funktioner inkluderer: en fuldt open source-værktøjskæde, understøttelse af installation som pakker oven på almindelig FreeBSD, load balancing-værktøjer, en webgrænseflade til organisering af brugerforbindelser til netværket (Captive portal), sporingsmekanismer for forbindelsestilstand (en stateful firewall baseret på pf), et båndbreddebegrænsende system, trafikfiltrering og IPsec-baseret VPN-oprettelse. OpenVPN og PPTP, integration med LDAP og RADIUS, DDNS (Dynamisk DNS) understøttelse, et system med visuelle rapporter og grafer.

På basis af distributionen er det muligt at oprette fejltolerante konfigurationer baseret på brugen af ​​CARP-protokollen og tillader at starte, udover hovedfirewallen, en backup-node, som automatisk synkroniseres på konfigurationsniveau og vil overtage belastningen i tilfælde af fejl i den primære knude. Administratoren tilbydes en webgrænseflade til konfiguration af firewallen, bygget ved hjælp af Bootstrap-webframeworket og Phalcon MVC.

Blandt ændringerne:

  • Overgangen til FreeBSD 15.1-kodebasen er fuldført (tidligere blev FreeBSD 14.3 brugt).
  • Grænseflader til konfiguration af firewallregler, tildeling af netværksgrænseflader (adskillelse mellem LAN og WAN) og administration af gatewaygrupper er blevet migreret til at bruge MVC-frameworket og er nu yderligere tilgængelige via web-API'en til automatisering af netværkskonfigurationsstyring.
  • Tilføjet en guide til migrering af adresseoversættelsesregler fra det gamle udgående NAT-konfigurationsformat til det nye format ved hjælp af kilde-NAT-arkitekturen (SNAT).
  • Understøttelse af DDNS (dynamisk) og automatisk tildeling af IPv6-præfikser (adresseblokke) er blevet tilføjet til KEA DHCP-konfiguratoren.
  • IPv6-understøttelse er blevet tilføjet til Captive-portalen.
  • Opdaterede versioner OpenVPN 2.7, PHP 8.5, Python 3.13.
  • En kritisk sårbarhed (CVE-2026-57155, alvorlighedsniveau 9.9 ud af 10) er blevet rettet. Denne sårbarhed tillod en ikke-privilegeret bruger uden shell-adgang og begrænset adgang til aliasser (lister over netværks- og værtsnavne) at udføre kode med root-rettigheder. Sårbarheden skyldes manglende korrekte kontroller ved behandling af data fra GeoIP-databasen, der forbinder lande med IP-adresser.

    Landekoden fra GeoIP-databasen blev erstattet uden verifikation, da filnavnet blev genereret, hvilket tillod enhver fil i systemet at blive overskrevet, da handleren kører med root-rettigheder. En ikke-privilegeret bruger kunne bruge Web API'en til at angive en URL for at downloade en modificeret GeoIP-database til aliasser. For at opnå root-rettigheder kunne man angive "../../../../../../../etc/newsyslog.conf.d/zzz_pwn" i stedet for landekoden i en af ​​databaseposterne. Dette ville oprette en konfigurationsfil til logrotationssystemet, som kunne definere kommandoer, der køres med root-rettigheder.

Kilde: opennet.ru

Køb pålidelig hosting til websteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Køb pålidelig webhosting med DDoS-beskyttelse, VPS VDS-servere | ProHoster