OPNsense 26.7 брандмауэрлерін құруға арналған тарату жинағының шығарылымы жарияланды, ол 2015 жылы желіаралық қалқандар мен желілік шлюздерді орналастыру үшін коммерциялық шешімдер деңгейінде функционалдығы болуы мүмкін толығымен ашық тарату жинағын әзірлеу мақсатында pfSense жобасынан бөлініп шықты. pfSense-тен айырмашылығы, жоба бір компаниямен бақыланбайтын, қауымдастықтың тікелей қатысуымен әзірленген және толығымен ашық даму процесіне ие, сонымен қатар оның кез келген әзірлемелерін үшінші тарап өнімдерінде, соның ішінде коммерциялық мақсатта пайдалану мүмкіндігін береді. бір. Бөлу компоненттерінің бастапқы коды, сондай-ақ құрастыру үшін пайдаланылатын құралдар BSD лицензиясы бойынша таратылады. Жинақтар LiveCD және флэш-дискілерге (490 МБ) жазу үшін жүйелік кескін түрінде дайындалған.
Дистрибуцияның негізі FreeBSD кодына негізделген. OPNsense мүмкіндіктеріне мыналар кіреді: толық ашық бастапқы кодты құрастыру құралдар тізбегі, кәдімгі FreeBSD-дің үстіне пакеттер ретінде орнатуды қолдау, жүктемені теңестіру құралдары, пайдаланушылардың желіге қосылуын ұйымдастыруға арналған веб-интерфейс (Captive Portal), қосылым күйін бақылау механизмдері (pf негізіндегі күйдегі брандмауэр), өткізу қабілеттілігін шектеу жүйесі, трафикті сүзу және IPsec негізіндегі VPN жасау. OpenVPN және PPTP, LDAP және RADIUS-пен интеграция, DDNS (динамикалық DNS) қолдауы, визуалды есептер мен графиктер жүйесі.
Тарату негізінде CARP хаттамасын пайдалану негізінде қатеге төзімді конфигурациялар жасалуы мүмкін және негізгі брандмауэрге қосымша конфигурация деңгейінде автоматты түрде синхрондалатын және конфигурацияны қабылдайтын сақтық көшірме түйінін іске қосуға мүмкіндік береді. бастапқы түйіннің істен шығуы кезіндегі жүктеме. Әкімшіге желіаралық қалқанды конфигурациялауға арналған веб-интерфейс ұсынылады, ол Bootstrap веб-жақтамасы және Phalcon MVC көмегімен құрастырылады.
Өзгерістердің ішінде:
- FreeBSD 15.1 код базасына көшу аяқталды (бұрын FreeBSD 14.3 қолданылған).
- Брандмауэр ережелерін конфигурациялау, желілік интерфейстерді тағайындау (LAN және WAN арасында бөлу) және шлюз топтарын басқару интерфейстері MVC құрылымын пайдалану үшін көшірілді және енді желілік конфигурацияны басқаруды автоматтандыру үшін Web API арқылы қосымша қол жетімді.
- Source NAT (SNAT) архитектурасын пайдаланып, мекенжайды аудару ережелерін ескі Outbound NAT конфигурация пішімінен жаңа пішімге көшіруге арналған шебер қосылды.
- KEA DHCP конфигураторына DDNS (динамикалық) қолдауы және IPv6 префикстерін (мекенжай блоктарын) автоматты түрде бөлу қосылды.
- Captive порталына IPv6 қолдауы қосылды.
- Жаңартылған нұсқалар OpenVPN 2.7, PHP 8.5, Python 3.13.
- Маңызды осалдық (CVE-2026-57155, ауырлық деңгейі 10-нан 9.9) түзетілді. Бұл осалдық қабықшаға кіру мүмкіндігі жоқ және бүркеншік аттарға (желі және хост атауларының тізімдері) шектеулі кіру мүмкіндігі жоқ артықшылықсыз пайдаланушыға кодты түбірлік құқықтармен орындауға мүмкіндік берді. Осалдық елдерді IP мекенжайларымен байланыстыратын GeoIP дерекқорынан деректерді өңдеу кезінде тиісті тексерулердің болмауынан туындайды.
GeoIP дерекқорынан алынған ел коды жазылып жатқан файл атауын жасау кезінде тексерусіз ауыстырылды, бұл өңдегіш түбірлік құқықтармен жұмыс істейтіндіктен, жүйедегі кез келген файлдың үстіне жазылуына мүмкіндік берді. Артықшылығы жоқ пайдаланушы өзгертілген GeoIP дерекқорын бүркеншік аттар үшін жүктеу үшін URL мекенжайын көрсету үшін Web API пайдалана алады. Түбірлік құқықтарды алу үшін дерекқор жазбаларының біріндегі ел кодының орнына "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" көрсетуге болады. Бұл журналды айналдыру жүйесі үшін конфигурация файлын жасайды, ол түбірлік құқықтармен орындалатын командаларды анықтай алады.
Ақпарат көзі: opennet.ru
