OPNsense 26.7 ugunsmūra izplatīšana ir izlaista 2015. gadā ar mērķi izstrādāt pilnībā atvērtā koda izplatīšanu, kas varētu nodrošināt komerciālu ugunsmūra un vārtejas risinājumu funkcionalitāti. Atšķirībā no pfSense projekts ir pozicionēts kā viena uzņēmuma nekontrolēts, izstrādāts ar tiešu sabiedrības līdzdalību un ar pilnīgi caurskatāmu izstrādes procesu, kā arī sniedz iespēju izmantot jebkuru no tā izstrādātajiem trešo pušu produktiem, t.sk. komerciālās. Izplatīšanas komponentu pirmkods, kā arī montāžai izmantotie rīki tiek izplatīti saskaņā ar BSD licenci. Komplekti ir sagatavoti LiveCD un sistēmas attēla veidā ierakstīšanai uz zibatmiņas diskiem (490 MB).
Начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense: полностью открытый сборочный инструментарий, поддержка установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживания состояний соединений (stateful firewall на основе pf), система ограничения пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN un PPTP, integrācija ar LDAP un RADIUS, DDNS (dinamiskā DNS) atbalsts, vizuālu pārskatu un grafiku sistēma.
Pamatojoties uz izplatīšanu, ir iespējams izveidot defektu tolerantas konfigurācijas, kas balstītas uz CARP protokola izmantošanu un ļaujot papildus galvenajam ugunsmūrim palaist rezerves mezglu, kas tiks automātiski sinhronizēts konfigurācijas līmenī un pārņems slodzi primārā mezgla atteices gadījumā. Administratoram tiek piedāvāta tīmekļa saskarne ugunsmūra konfigurēšanai, kas izveidota, izmantojot Bootstrap tīmekļa ietvaru un Phalcon MVC.
Starp izmaiņām:
- Осуществлён переход на кодовую базу FreeBSD 15.1 (ранее использовался FreeBSD 14.3).
- Интерфейсы для настройки правил межсетевых экранов, назначения сетевых интерфейсов (разделение между LAN и WAN) и управления группами шлюзов переведены на использование MVC-фреймворка и теперь дополнительно доступны через Web API для автоматизации управления сетевой конфигурацией.
- Добавлен мастер для миграции правил трансляции адресов со старого формата конфигурации Outbound NAT на новый формат, использующий архитектуру Source NAT (SNAT).
- В конфигуратор KEA DHCP добавлена поддержка DDNS (Dynamic) и автоматического выделения префиксов IPv6 (блоков адресов).
- В Captive portal добавлена поддержка IPv6.
- Atjauninātas versijas OpenVPN 2.7, PHP 8.5, Python 3.13.
- Устранена критическая уязвимость (CVE-2026-57155, уровень опасности 9.9 из 10), позволяющая непривилегированному пользователю без доступа к shell и ограниченному работой с алиасами (списки с именами сетей и хостов), выполнить код с правами root. Уязвимость вызвана отсутствием должных проверок при обработке данных из БД GeoIP c привязкой стран к IP-адресам.
Код страны из БД GeoIP без проверки подставлялся при формировании записываемого имени файла, что позволяло перезаписать любой файл в системе, так как обработчик запускается с правами root. Через Web API непривилегированный пользователь мог указать свой URL для загрузки модифицированной БД GeoIP для алиасов. Для получения прав root в одной из записей в БД вместо кода страны можно указать «../../../../../../../../etc/newsyslog.conf.d/zzz_pwn», что приведёт к созданию файла конфигурации для системы ротации логов, в котором могут быть определены команды, запускаемые с правами root.
Avots: opennet.ru
