Frigivning av ett distributionspaket för att skapa OPNsense 26.7-brandväggar

OPNsense 26.7-brandväggsdistributionen har släppts från pfSense-projektet 2015 med målet att utveckla en helt öppen källkodsdistribution som kan ha samma funktionalitet som kommersiella brandväggs- och gatewaylösningar. Till skillnad från pfSense är projektet positionerat som att det inte kontrolleras av ett enda företag, utvecklat med direkt deltagande av gemenskapen och med en helt transparent utvecklingsprocess, samt ger möjlighet att använda någon av dess utvecklingar i tredjepartsprodukter, inklusive kommersiella sådana. Källkoden för distributionskomponenterna, såväl som verktygen som används för montering, distribueras under BSD-licensen. Sammansättningarna är förberedda i form av LiveCD och en systembild för inspelning på Flash-enheter (490 MB).

Начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense: полностью открытый сборочный инструментарий, поддержка установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживания состояний соединений (stateful firewall на основе pf), система ограничения пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN och PPTP, integration med LDAP och RADIUS, stöd för DDNS (Dynamic DNS), ett system med visuella rapporter och grafer.

På basis av distributionen är det möjligt att skapa feltoleranta konfigurationer baserade på användningen av CARP-protokollet och tillåter att, förutom huvudbrandväggen, starta en backup-nod, som automatiskt synkroniseras på konfigurationsnivå och kommer att ta över belastningen i händelse av ett fel på den primära noden. Administratören erbjuds ett webbgränssnitt för att konfigurera brandväggen, byggt med hjälp av Bootstrap webbramverk och Phalcon MVC.

Bland ändringarna:

  • Осуществлён переход на кодовую базу FreeBSD 15.1 (ранее использовался FreeBSD 14.3).
  • Интерфейсы для настройки правил межсетевых экранов, назначения сетевых интерфейсов (разделение между LAN и WAN) и управления группами шлюзов переведены на использование MVC-фреймворка и теперь дополнительно доступны через Web API для автоматизации управления сетевой конфигурацией.
  • Добавлен мастер для миграции правил трансляции адресов со старого формата конфигурации Outbound NAT на новый формат, использующий архитектуру Source NAT (SNAT).
  • В конфигуратор KEA DHCP добавлена поддержка DDNS (Dynamic) и автоматического выделения префиксов IPv6 (блоков адресов).
  • В Captive portal добавлена поддержка IPv6.
  • Uppdaterade versioner OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Устранена критическая уязвимость (CVE-2026-57155, уровень опасности 9.9 из 10), позволяющая непривилегированному пользователю без доступа к shell и ограниченному работой с алиасами (списки с именами сетей и хостов), выполнить код с правами root. Уязвимость вызвана отсутствием должных проверок при обработке данных из БД GeoIP c привязкой стран к IP-адресам.

    Код страны из БД GeoIP без проверки подставлялся при формировании записываемого имени файла, что позволяло перезаписать любой файл в системе, так как обработчик запускается с правами root. Через Web API непривилегированный пользователь мог указать свой URL для загрузки модифицированной БД GeoIP для алиасов. Для получения прав root в одной из записей в БД вместо кода страны можно указать «../../../../../../../../etc/newsyslog.conf.d/zzz_pwn», что приведёт к созданию файла конфигурации для системы ротации логов, в котором могут быть определены команды, запускаемые с правами root.

Källa: opennet.ru

Köp pålitlig hosting för webbplatser med DDoS-skydd, VPS VDS-servrar 🔥 Köp pålitlig webbhotell med DDoS-skydd, VPS VDS-servrar | ProHoster