OPNsense 26.7 брандмауэрлерин түзүү үчүн бөлүштүрүү топтомун чыгаруу

OPNsense 26.7 брандмауэр дистрибуциясы 2015-жылы pfSense долбоорунан коммерциялык брандмауэр жана шлюз чечимдерине ээ боло турган толук ачык булак бөлүштүрүүнү иштеп чыгуу максатында чыгарылган. pfSense айырмаланып, долбоор коомчулуктун түздөн-түз катышуусу менен иштелип чыккан жана толугу менен ачык-айкын өнүгүү процессине ээ, бир компания тарабынан көзөмөлдөнбөйт, ошондой эле үчүнчү тараптын продуктыларында, анын ичинде анын иштеп чыгууларды колдонуу мүмкүнчүлүгүн камсыз кылат. коммерциялык. Бөлүштүрүү компоненттеринин баштапкы коду, ошондой эле чогултуу үчүн колдонулган куралдар BSD лицензиясы боюнча бөлүштүрүлөт. Ассамблеялар LiveCD жана Flash дисктерге (490 МБ) жазуу үчүн системалык сүрөт түрүндө даярдалган.

Дистрибуциянын өзөгү FreeBSD кодуна негизделген. OPNsense функцияларына төмөнкүлөр кирет: толугу менен ачык булактуу куруу куралдар тизмеги, кадимки FreeBSDдин үстүнө пакет катары орнотууну колдоо, жүктөмдү теңдөө куралдары, тармакка колдонуучулардын туташууларын уюштуруу үчүн веб-интерфейс (Captive Portal), туташуу абалын көзөмөлдөө механизмдери (pf негизиндеги абалдагы брандмауэр), өткөрүү жөндөмдүүлүгүн чектөө системасы, трафикти чыпкалоо жана IPsec негизиндеги VPN түзүү. OpenVPN жана PPTP, LDAP жана RADIUS менен интеграциялоо, DDNS (динамикалык DNS) колдоосу, визуалдык отчеттор жана графиктер системасы.

Бөлүштүрүүнүн негизинде CARP протоколун колдонуунун негизинде каталарга чыдамдуу конфигурацияларды түзүүгө болот жана негизги брандмауэрден тышкары конфигурация деңгээлинде автоматтык түрдө синхрондолуп турган резервдик түйүндү ишке киргизүүгө мүмкүндүк берет жана баштапкы түйүн бузулган учурда жүктү өзүнө алат. Администраторго брандмауэрди конфигурациялоо үчүн Bootstrap веб алкагында жана Phalcon MVC аркылуу курулган веб-интерфейс сунушталат.

Өзгөртүүлөрдүн арасында:

  • FreeBSD 15.1 код базасына өтүү аяктады (мурда FreeBSD 14.3 колдонулган).
  • Брандмауэр эрежелерин конфигурациялоо, тармак интерфейстерин дайындоо (LAN жана WAN ортосунда бөлүү) жана шлюз топторун башкаруу интерфейстери MVC алкагын колдонууга көчүрүлдү жана эми тармак конфигурациясын башкарууну автоматташтыруу үчүн Web API аркылуу кошумча түрдө жеткиликтүү.
  • Даректи которуу эрежелерин эски Outbound NAT конфигурация форматынан Source NAT (SNAT) архитектурасын колдонуп жаңы форматка көчүрүү үчүн уста кошулду.
  • KEA DHCP конфигураторуна DDNS (динамикалык) колдоосу жана IPv6 префикстерин (дарек блокторун) автоматтык түрдө бөлүштүрүү кошулду.
  • Captive порталына IPv6 колдоосу кошулду.
  • Жаңыланган версиялар OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Критикалык аялуу жер (CVE-2026-57155, оордук деңгээли 10дон 9.9) оңдолду. Бул аялуу жер shell мүмкүнчүлүгү жок жана каймана аттарга (тармак жана хост аттарынын тизмеси) чектелген мүмкүнчүлүгү бар артыкчылыксыз колдонуучуга root артыкчылыктары менен кодду аткарууга мүмкүндүк берди. Аялуу жер өлкөлөрдү IP даректери менен байланыштырган GeoIP маалымат базасынан маалыматтарды иштетүүдө тийиштүү текшерүүлөрдүн жоктугунан келип чыгат.

    GeoIP маалымат базасынан алынган өлкө коду жазылып жаткан файлдын аталышын түзүүдө текшерүүсүз алмаштырылган, бул системадагы каалаган файлдын үстүнөн жазылышына мүмкүндүк берген, анткени иштетүүчү root артыкчылыктары менен иштейт. Артыкчылыгы жок колдонуучу өзгөртүлгөн GeoIP маалымат базасын лакап аттар үчүн жүктөп алуу үчүн URL дарегин көрсөтүү үчүн Web API колдоно алат. Root артыкчылыктарын алуу үчүн, маалымат базасынын жазууларынын бириндеги өлкө кодунун ордуна "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" көрсөтсө болот. Бул журналды айландыруу системасы үчүн конфигурация файлын түзөт, ал root артыкчылыктары менен аткарылуучу буйруктарды аныктай алат.

Source: opennet.ru

DDoS коргоосу, VPS VDS серверлери бар сайттар үчүн ишенимдүү хостинг сатып алыңыз 🔥 DDoS коргоосу, VPS VDS серверлери бар ишенимдүү веб-сайт хостингин сатып алыңыз | ProHoster