Phát hành bộ phân phối để tạo tường lửa OPNsense 26.7

Bản phân phối tường lửa OPNsense 26.7 đã được phát hành. Nó được phân nhánh từ dự án pfSense vào năm 2015 với mục tiêu phát triển một bản phân phối mã nguồn mở hoàn toàn có thể có chức năng của các giải pháp tường lửa và cổng thương mại. Không giống như pfSense, dự án được định vị là không do một công ty nào kiểm soát, được phát triển với sự tham gia trực tiếp của cộng đồng và có quy trình phát triển hoàn toàn minh bạch, cũng như cung cấp cơ hội sử dụng bất kỳ phát triển nào của mình trong các sản phẩm của bên thứ ba, bao gồm thương mại. Mã nguồn của các thành phần phân phối cũng như các công cụ được sử dụng để lắp ráp đều được phân phối theo giấy phép BSD. Các bản lắp ráp được chuẩn bị dưới dạng LiveCD và hình ảnh hệ thống để ghi vào ổ đĩa Flash (490 MB).

Cốt lõi của bản phân phối dựa trên mã nguồn FreeBSD. Các tính năng của OPNsense bao gồm: bộ công cụ xây dựng hoàn toàn mã nguồn mở, hỗ trợ cài đặt dưới dạng gói trên nền FreeBSD thông thường, công cụ cân bằng tải, giao diện web để quản lý kết nối người dùng vào mạng (Captive Portal), cơ chế theo dõi trạng thái kết nối (tường lửa trạng thái dựa trên pf), hệ thống giới hạn băng thông, lọc lưu lượng và tạo VPN dựa trên IPsec. OpenVPN và PPTP, tích hợp với LDAP và RADIUS, hỗ trợ DDNS (DNS động), hệ thống báo cáo và biểu đồ trực quan.

Trên cơ sở phân phối, có thể tạo cấu hình chịu lỗi dựa trên việc sử dụng giao thức CARP và cho phép khởi chạy, ngoài tường lửa chính, một nút sao lưu, sẽ được tự động đồng bộ hóa ở cấp độ cấu hình và sẽ tiếp quản tải trong trường hợp nút chính bị lỗi. Người quản trị được cung cấp giao diện web để cấu hình tường lửa, được xây dựng bằng nền tảng web Bootstrap và Phalcon MVC.

Trong số những thay đổi:

  • Quá trình chuyển đổi sang nền tảng mã nguồn FreeBSD 15.1 đã hoàn tất (trước đây sử dụng FreeBSD 14.3).
  • Các giao diện để cấu hình quy tắc tường lửa, gán giao diện mạng (phân tách giữa LAN và WAN) và quản lý nhóm cổng đã được chuyển sang sử dụng khung MVC và hiện cũng có thể truy cập được thông qua API web để tự động hóa việc quản lý cấu hình mạng.
  • Đã thêm trình hướng dẫn để chuyển đổi các quy tắc dịch địa chỉ từ định dạng cấu hình NAT đầu ra cũ sang định dạng mới sử dụng kiến ​​trúc NAT nguồn (SNAT).
  • Chức năng hỗ trợ DDNS (động) và phân bổ tự động các tiền tố IPv6 (khối địa chỉ) đã được thêm vào trình cấu hình DHCP của KEA.
  • Đã thêm hỗ trợ IPv6 vào cổng thông tin đăng nhập bắt buộc (Captive portal).
  • Phiên bản cập nhật OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Một lỗ hổng bảo mật nghiêm trọng (CVE-2026-57155, mức độ nghiêm trọng 9.9 trên 10) đã được khắc phục. Lỗ hổng này cho phép người dùng không có đặc quyền, không có quyền truy cập shell và quyền truy cập hạn chế vào các bí danh (danh sách tên mạng và máy chủ) thực thi mã với quyền root. Lỗ hổng này do thiếu các bước kiểm tra thích hợp khi xử lý dữ liệu từ cơ sở dữ liệu GeoIP liên kết các quốc gia với địa chỉ IP.

    Mã quốc gia từ cơ sở dữ liệu GeoIP đã bị thay thế mà không được xác minh khi tạo tên tệp được ghi, cho phép ghi đè lên bất kỳ tệp nào trong hệ thống, vì trình xử lý chạy với quyền root. Người dùng không có đặc quyền có thể sử dụng API Web để chỉ định URL để tải xuống cơ sở dữ liệu GeoIP đã được sửa đổi cho các bí danh. Để có được quyền root, người ta có thể chỉ định "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" thay vì mã quốc gia trong một trong các mục nhập cơ sở dữ liệu. Điều này sẽ tạo ra một tệp cấu hình cho hệ thống xoay vòng nhật ký, có thể định nghĩa các lệnh được chạy với quyền root.

Nguồn: opennet.ru

Mua dịch vụ lưu trữ đáng tin cậy cho các trang web có bảo vệ DDoS, máy chủ VPS VDS 🔥 Mua dịch vụ hosting website đáng tin cậy với bảo vệ DDoS, máy chủ VPS VDS | ProHoster