Випуск дистрибутива для створення міжмережевих екранів OPNsense 26.7

Опубліковано реліз дистрибутива для створення міжмережевих екранів OPNsense 26.7, який у 2015 році відокремився від проекту pfSense з метою розробки повністю відкритого дистрибутива, який міг би мати функціональність на рівні комерційних рішень для розгортання міжмережевих екранів та мережевих шлюзів. На відміну від pfSense, проект позиціонується як непідконтрольний одній компанії, що розвивається за безпосередньої участі співтовариства і має повністю прозорий процес розробки, а також надає можливість використання будь-яких своїх напрацювань у сторонніх продуктах, у тому числі комерційних. Вихідні тексти компонентів дистрибутива, а також інструменти, що використовуються для складання, поширюються під ліцензією BSD. Складання підготовлено у формі LiveCD та системного образу для запису на Flash-накопичувачі (490 МБ).

Начинка дистрибутива ґрунтується на коді FreeBSD. Серед можливостей OPNsense: повністю відкритий складальний інструментарій, підтримка установки у формі пакетів поверх звичайного FreeBSD, засоби балансування навантаження, web-інтерфейс для організації підключення користувачів до мережі (Captive portal), наявність механізмів відстеження станів з'єднань (stateful firewall на основі pf), система обмеження пропускної спроможності, фільтрація трафіку OpenVPN та PPTP, інтеграція з LDAP та RADIUS, підтримка DDNS (Dynamic DNS), система наочних звітів та графіків.

На базі дистрибутива можуть створюватися стійкі до відмови конфігурації, засновані на використанні протоколу CARP і дозволяють запустити крім основного міжмережевого екрану запасний вузол, який буде автоматично синхронізований на рівні конфігурації і прийме на себе навантаження в разі збою первинного вузла. Для адміністратора пропонується web-інтерфейс для налаштування міжмережевого екрану, побудований за допомогою web-фреймворку Bootstrap і Phalcon MVC.

Серед змін:

  • Здійснено перехід на кодову базу FreeBSD 15.1 (раніше використовувався FreeBSD 14.3).
  • Інтерфейси для налаштування правил міжмережевих екранів, призначення мережевих інтерфейсів (розподіл між LAN і WAN) та керування групами шлюзів переведені на використання MVC-фреймворку і тепер додатково доступні через Web API для автоматизації керування мережевою конфігурацією.
  • Доданий майстер для міграції правил трансляції адрес зі старого формату конфігурації Outbound NAT на новий формат, який використовує архітектуру Source NAT (SNAT).
  • У конфігуратор KEA DHCP додано підтримку DDNS (Dynamic) та автоматичне виділення префіксів IPv6 (блоків адрес).
  • У Captive portal додано підтримку IPv6.
  • Оновлено версії OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Усунена критична вразливість (CVE-2026-57155, рівень небезпеки 9.9 з 10), що дозволяє непривілейованому користувачеві без доступу до shell та обмеженому роботою з аліасами (списки з іменами мереж та хостів), виконати код з правами root. Вразливість викликана відсутністю належних перевірок при обробці даних із БД GeoIP з прив'язкою країн до IP-адрес.

    Код країни з БД GeoIP без перевірки підставлявся при формуванні імені файлу, що записується, що дозволяло перезаписати будь-який файл в системі, так як обробник запускається з правами root. Через Web API непривілейований користувач міг вказати свою URL для завантаження модифікованої БД GeoIP для аліасів. Для отримання прав root в одному із записів у БД замість коду країни можна вказати "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn", що призведе до створення файлу конфігурації для системи ротації логів, в якому можуть бути визначені команди, за якими можуть бути визначені команди, за якими можуть бути визначені команди,

Джерело: opennet.ru

Купити надійний хостинг для сайтів із захистом від DDoS, VPS VDS сервери 🔥 Купити надійний хостинг для сайтів із захистом від DDoS, VPS VDS сервери | ProHoster