La distribuo de fajroŝirmilo OPNsense 26.7 estis liberigita de la projekto pfSense en 2015 kun la celo evoluigi plene malfermfontan distribuon, kiu povus havi la funkciojn de komercaj fajroŝirmiloj kaj enirejoj. Male al pfSense, la projekto estas poziciigita kiel ne kontrolita de ununura firmao, evoluigita kun la rekta partopreno de la komunumo kaj havanta tute travidebla evoluprocezo, same kiel havigante la ŝancon uzi ajnan el siaj evoluoj en triaj produktoj, inkluzive de komercaj. La fontkodo de la distribuokomponentoj, same kiel la iloj uzitaj por kunigo, estas distribuitaj sub la BSD-licenco. La asembleoj estas preparitaj en formo de LiveCD kaj sistembildo por registri sur Flashdiskoj (490 MB).
La kerno de la distribuaĵo baziĝas sur FreeBSD-kodo. La trajtoj de OPNsense inkluzivas: tute malfermfontecan konstruan ilaron, subtenon por instalado kiel pakaĵoj sur regula FreeBSD, ilojn por ŝarĝekvilibro, retan interfacon por organizi uzantajn konektojn al la reto (Kaptita Portalo), mekanismojn por spuri la staton de konekto (statplena fajromuro bazita sur pf), sistemon por limigi la bendolarĝon, trafikfiltradon kaj IPsec-bazitan VPN-kreadon. OpenVPN kaj PPTP, integriĝo kun LDAP kaj RADIUS, subteno por DDNS (Dinamika DNS), sistemo de vidaj raportoj kaj grafikaĵoj.
Surbaze de la distribuo, eblas krei misfunkciajn agordojn bazitajn sur la uzo de la protokolo CARP kaj permesante lanĉi, krom la ĉefa fajroŝirmilo, rezervan nodon, kiu aŭtomate sinkroniĝos ĉe la agorda nivelo kaj transprenos la ŝarĝon okaze de malsukceso de la primara nodo. Al la administranto oni proponas retinterfacon por agordi la fajroŝirmilon, konstruitan per la retejo Bootstrap kaj Phalcon MVC.
Inter la ŝanĝoj:
- La transiro al la kodbazo de FreeBSD 15.1 estas finita (antaŭe oni uzis FreeBSD 14.3).
- Interfacoj por agordi fajromurajn regulojn, asigni retinterfacojn (apartigante inter LAN kaj WAN), kaj administri enirejajn grupojn estis migritaj por uzi la MVC-kadron kaj nun estas plie alireblaj per la TTT-API por aŭtomatigi ret-agordan administradon.
- Aldonis asistanton por migri adrestradukajn regulojn de la malnova Outbound NAT-konfiguracia formato al la nova formato uzante la Fontan NAT (SNAT) arkitekturon.
- Subteno por DDNS (Dinamika) kaj aŭtomata asigno de IPv6-prefiksoj (adresblokoj) estis aldonita al la KEA DHCP-konfiguraĵo.
- IPv6-subteno estis aldonita al la Kaptiva portalo.
- Ĝisdatigitaj versioj OpenVPN 2.7, PHP 8.5, Python 3.13.
- Kritika vundebleco (CVE-2026-57155, severecnivelo 9.9 el 10) estis riparita. Ĉi tiu vundebleco permesis al neprivilegia uzanto sen ŝelira aliro kaj limigita aliro al kaŝnomoj (listoj de reto- kaj gastigaj nomoj) ekzekuti kodon kun administraj privilegioj. La vundebleco estas kaŭzita de manko de taŭgaj kontroloj dum prilaborado de datumoj el la GeoIP-datumbazo, kiu asocias landojn kun IP-adresoj.
La landokodo el la GeoIP-datumbazo estis anstataŭigita sen konfirmo dum generado de la skribata dosiernomo, permesante anstataŭigi ajnan dosieron en la sistemo, ĉar la traktilo funkcias kun administraj rajtoj. Senprivilegia uzanto povus uzi la TTT-API-on por specifi URL-on por elŝuti modifitan GeoIP-datumbazon por kaŝnomoj. Por akiri administrajn rajtojn, oni povus specifi "../../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" anstataŭ la landokodo en unu el la datumbazaj elementoj. Tio kreus agordodosieron por la protokola rotacia sistemo, kiu povus difini komandojn funkciigatajn kun administraj rajtoj.
fonto: opennet.ru
