Paglabas ng distribution kit para sa paggawa ng mga firewall ng OPNsense 26.7

Ang pamamahagi ng firewall ng OPNsense 26.7 ay inilabas na ito ay na-forked mula sa proyekto ng pfSense noong 2015 na may layuning bumuo ng isang ganap na open source na pamamahagi na maaaring magkaroon ng functionality ng mga komersyal na firewall at mga solusyon sa gateway. Hindi tulad ng pfSense, ang proyekto ay nakaposisyon bilang hindi kontrolado ng isang kumpanya, na binuo na may direktang partisipasyon ng komunidad at pagkakaroon ng ganap na transparent na proseso ng pag-unlad, pati na rin ang pagbibigay ng pagkakataon na gamitin ang alinman sa mga development nito sa mga produktong third-party, kabilang ang mga komersyal. Ang source code ng mga bahagi ng pamamahagi, pati na rin ang mga tool na ginagamit para sa pagpupulong, ay ipinamamahagi sa ilalim ng lisensya ng BSD. Ang mga pagtitipon ay inihanda sa anyo ng LiveCD at isang imahe ng system para sa pag-record sa mga Flash drive (490 MB).

Ang core ng distribusyon ay batay sa FreeBSD code. Kabilang sa mga tampok ng OPNsense ang: isang ganap na open-source build toolchain, suporta para sa pag-install bilang mga pakete sa ibabaw ng regular na FreeBSD, mga tool sa load balancing, isang web interface para sa pag-oorganisa ng mga koneksyon ng user sa network (Captive Portal), mga mekanismo sa pagsubaybay sa estado ng koneksyon (isang stateful firewall batay sa pf), isang bandwidth limiting system, traffic filtering, at paglikha ng VPN na nakabatay sa IPsec. OpenVPN at PPTP, integrasyon sa LDAP at RADIUS, suporta sa DDNS (Dynamic DNS), isang sistema ng mga visual na ulat at mga graph.

Sa batayan ng pamamahagi, posibleng lumikha ng fault-tolerant na mga pagsasaayos batay sa paggamit ng CARP protocol at pagpayag na maglunsad, bilang karagdagan sa pangunahing firewall, isang backup na node, na awtomatikong mai-synchronize sa antas ng pagsasaayos at kukuha ng pagkarga sa kaganapan ng pagkabigo ng pangunahing node. Ang administrator ay inaalok ng isang web interface para sa pag-configure ng firewall, na binuo gamit ang Bootstrap web framework at Phalcon MVC.

Kabilang sa mga pagbabago:

  • Nakumpleto na ang paglipat sa base ng kodigo ng FreeBSD 15.1 (dati nang ginamit ang FreeBSD 14.3).
  • Ang mga interface para sa pag-configure ng mga patakaran sa firewall, pagtatalaga ng mga interface ng network (paghihiwalay sa pagitan ng LAN at WAN), at pamamahala ng mga grupo ng gateway ay inilipat upang gamitin ang MVC framework at ngayon ay maaari nang ma-access sa pamamagitan ng Web API para sa pag-automate ng pamamahala ng configuration ng network.
  • Nagdagdag ng wizard para sa paglilipat ng mga panuntunan sa pagsasalin ng address mula sa lumang format ng configuration ng Outbound NAT patungo sa bagong format gamit ang arkitektura ng Source NAT (SNAT).
  • Ang suporta para sa DDNS (Dynamic) at awtomatikong paglalaan ng mga IPv6 prefix (mga address block) ay naidagdag na sa KEA DHCP configurator.
  • Naidagdag na ang suporta sa IPv6 sa Captive portal.
  • Mga na-update na bersyon OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Naayos na ang isang kritikal na kahinaan (CVE-2026-57155, antas ng kalubhaan 9.9 sa 10). Ang kahinaang ito ay nagbigay-daan sa isang walang pribilehiyong user na walang access sa shell at limitadong access sa mga alias (mga listahan ng mga pangalan ng network at host) na isagawa ang code na may mga pribilehiyo sa root. Ang kahinaan ay sanhi ng kakulangan ng wastong pagsusuri kapag pinoproseso ang data mula sa GeoIP database na nag-uugnay sa mga bansang may mga IP address.

    Ang country code mula sa GeoIP database ay pinalitan nang walang beripikasyon noong binubuo ang pangalan ng file na isinusulat, na nagpapahintulot sa anumang file sa system na ma-overwrite, dahil ang handler ay tumatakbo nang may mga pribilehiyo sa root. Maaaring gamitin ng isang unprivileged user ang Web API upang tukuyin ang isang URL upang mag-download ng isang binagong GeoIP database para sa mga alias. Upang makakuha ng mga pribilehiyo sa root, maaaring tukuyin ang "../../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" sa halip na ang country code sa isa sa mga entry sa database. Lilikha ito ng isang configuration file para sa log rotation system, na maaaring magtakda ng mga command na tumatakbo nang may mga pribilehiyo sa root.

Pinagmulan: opennet.ru

Bumili ng maaasahang pagho-host para sa mga site na may proteksyon ng DDoS, mga server ng VPS VDS 🔥 Bumili ng maaasahang website hosting na may proteksyon ng DDoS, VPS VDS servers | ProHoster