A distribuição de firewall OPNsense 26.7 foi lançada. Ela foi bifurcada do projeto pfSense em 2015 com o objetivo de desenvolver uma distribuição totalmente de código aberto que pudesse ter a funcionalidade de soluções comerciais de firewall e gateway. Ao contrário do pfSense, o projeto se posiciona como não controlado por uma única empresa, desenvolvido com a participação direta da comunidade e tendo um processo de desenvolvimento totalmente transparente, além de oferecer a oportunidade de utilizar qualquer um de seus desenvolvimentos em produtos de terceiros, incluindo comerciais. O código-fonte dos componentes de distribuição, bem como as ferramentas usadas para montagem, são distribuídos sob a licença BSD. As montagens são preparadas na forma de LiveCD e uma imagem do sistema para gravação em pen drives (490 MB).
Начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense: полностью открытый сборочный инструментарий, поддержка установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживания состояний соединений (stateful firewall на основе pf), система ограничения пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN e PPTP, integração com LDAP e RADIUS, suporte a DDNS (DNS Dinâmico), um sistema de relatórios e gráficos visuais.
Com base na distribuição, é possível criar configurações tolerantes a falhas baseadas na utilização do protocolo CARP e permitindo lançar, além do firewall principal, um nó de backup, que será sincronizado automaticamente no nível de configuração e assumirá a carga em caso de falha do nó primário. O administrador recebe uma interface web para configurar o firewall, criada usando o framework web Bootstrap e o Phalcon MVC.
Entre as mudanças:
- Осуществлён переход на кодовую базу FreeBSD 15.1 (ранее использовался FreeBSD 14.3).
- Интерфейсы для настройки правил межсетевых экранов, назначения сетевых интерфейсов (разделение между LAN и WAN) и управления группами шлюзов переведены на использование MVC-фреймворка и теперь дополнительно доступны через Web API для автоматизации управления сетевой конфигурацией.
- Добавлен мастер для миграции правил трансляции адресов со старого формата конфигурации Outbound NAT на новый формат, использующий архитектуру Source NAT (SNAT).
- В конфигуратор KEA DHCP добавлена поддержка DDNS (Dynamic) и автоматического выделения префиксов IPv6 (блоков адресов).
- В Captive portal добавлена поддержка IPv6.
- Versões atualizadas OpenVPN 2.7, PHP 8.5, Python 3.13.
- Устранена критическая уязвимость (CVE-2026-57155, уровень опасности 9.9 из 10), позволяющая непривилегированному пользователю без доступа к shell и ограниченному работой с алиасами (списки с именами сетей и хостов), выполнить код с правами root. Уязвимость вызвана отсутствием должных проверок при обработке данных из БД GeoIP c привязкой стран к IP-адресам.
Код страны из БД GeoIP без проверки подставлялся при формировании записываемого имени файла, что позволяло перезаписать любой файл в системе, так как обработчик запускается с правами root. Через Web API непривилегированный пользователь мог указать свой URL для загрузки модифицированной БД GeoIP для алиасов. Для получения прав root в одной из записей в БД вместо кода страны можно указать «../../../../../../../../etc/newsyslog.conf.d/zzz_pwn», что приведёт к созданию файла конфигурации для системы ротации логов, в котором могут быть определены команды, запускаемые с правами root.
Fonte: opennet.ru
