到着 de IPFire 2.29 – コアアップデート 200 これは、オープンソースのファイアウォールおよびルーターディストリビューションの進化におけるターニングポイントとなります。最新のカーネルを導入し、セキュリティを強化し、ネットワークパフォーマンスを向上させ、多数のパッケージとプラグインを刷新するメジャーアップデートです。さらに、WiFi 7や高度なネットワーク検出サポートなどの最先端技術も追加されています。
このコアアップデートは「マイナーパッチ」に限定されず、 構造的な変更を加えたバージョン新しいドメインブロックリストシステム(IPFire DBL)、SuricataとIPSレポートシステムの大幅な改善、OpenVPNの大幅な変更、最近の脆弱性に対するより堅牢なプロキシ、LLDP/CDPのネイティブサポート、そして多数のライブラリとツールの更新。これらはすべて、IPFireの安定性、セキュリティ、そしてWebインターフェースを通じた管理の容易さへのこだわりを維持しながら実現されています。
IPFire 2.29 コアアップデート 200: 新しい IPFire カーネルとプラットフォームの変更
このリリースの柱の一つはIPFireカーネルのアップデートです。メインシステムブランチは 追い抜かれた Linux 6.18.x LTSこれにより、セキュリティ、パフォーマンス、ハードウェア互換性の大幅な向上がもたらされます。6.18 LTSラインには、安定性向上のための累積的な修正、最新のセキュリティパッチ、そしてレイテンシの低減とパケットフィルタリング性能の向上を実現する最適化が含まれており、特にトラフィック量の多いシナリオや、ファイアウォールやNATルールが多数適用されるシナリオで効果を発揮します。
新しいカーネルは ネットワークパフォーマンスの全体的な改善より高いスループット、より低いレイテンシ、そしてより高度なパケットフィルタリング機能を提供します。また、近年のハードウェア脆弱性に対する最新の緩和策も統合されており、最新のCPUの欠陥を悪用する攻撃に対する保護を強化します。これは、IPFireを境界ファイアウォールとして使用する環境や、高いセキュリティ要件が求められる重要なインフラストラクチャにおいて極めて重要です。
この移行には重要な決定もあります。 ReiserFSファイルシステムのサポートが削除されましたLinuxカーネル自体がこの技術を廃止済みとしており、IPFireプロジェクトもこれに追随しました。現在お使いのIPFireインストールでReiserFSを使用している場合、Core Update 200を直接適用することはできません。代わりに、サポートされているファイルシステム(ext4、XFS、または最近のIPFireイメージでサポートされているその他のファイルシステムなど)を使用してクリーンインストールを実行する必要があります。Webインターフェースでは以前からこのことについてユーザーに警告が出されているため、この制限は全く予想外のものではありません。
IPFire DBL: IPFire 2.29 コアアップデート 200 の新しいドメインブロックリスト
有名なシャラリストが利用できなくなって以来、IPFireのウェブプロキシは フィルタリングのためのドメインの安定したソース 悪意のあるコンテンツ、ソーシャルメディア、アダルトサイトなど。真に包括的で維持管理された代替手段が存在しないことから、IPFireチームは独自のドメインブロックリストを作成し、維持することを決定しました。 IPFire DBL.
IPFire DBLは、 初期ベータ段階ただし、システムの 2 つの重要なポイントではすでに機能的に使用できます。
- プロキシURLフィルター管理者は、ブロックするドメインのソースとしてIPFire DBLを選択できます。これにより、HTTP/HTTPSプロキシを通過するすべてのアクセスがリストと照合され、潜在的に危険なサイトや望ましくないサイトへのアクセスを防止できます。
- Suricata (IPS) との統合IPFire DBLの登場により、このプロジェクトはSuricataのルールプロバイダーにもなります。ドメインデータベースとディープパケットインスペクション(DNS、TLS、HTTP、QUIC)を組み合わせることで、IPSは従来のプロキシをバイパスした場合でも、禁止ドメインへの接続をより徹底的にブロックできます。
データベースはまだ成長中ですが、IPFireユーザーには 堅牢で最新の、特別に設計されたブロックリスト ファイアウォールエコシステムとの統合。チームはコミュニティの皆様にテストをお願いし、問題を報告していただき、将来のバージョンで大幅な改善と新機能の追加が期待される改良点を提案していただくよう奨励しています。
IPFire 2.29 コアアップデート 200 では、侵入防止システム (IPS) の改良が導入されました。
SuricataベースのIPSは、レポートのパフォーマンス、信頼性、有用性を向上させることを目的とした一連の重要な変更を受けています。以前のアップデートでは、 プリコンパイルされた署名をキャッシュに保存する Suricataの読み込みを高速化するために、キャッシュを最適化しました。しかし、キャッシュは制御不能に増大し、ディスク容量を大量に消費する可能性があります。
この動作を修正するために、コアアップデート200では Suricataが未使用の署名を自動的に削除できるようにするパッチこれにより、長期保存を損なうことなく高速起動の利点を維持できます。これは、小さなディスクを搭載したデバイスや専用アプライアンスにとって非常に重要です。
レポートコンポーネント(suricata-reporter)も拡張されました。現在、 DNS、HTTP、TLS、またはQUICホスト名やその他の関連情報などの追加情報がアラートメールとPDFレポートの両方に表示されるため、管理者は潜在的なセキュリティインシデントや企業ポリシー違反をより正確に調査できます。
これらの変更に加えて、コアアップデート200に近い最近のアップデートでは、 障害発生時のIPS管理の改善メモリが限られたシステムでは、Suricataがクラッシュしたり、RAMを解放するためにシステムによって終了させられたりすると、ファイアウォールが想定以上に開いたままになり、内部サービスが露出してしまうことが確認されました。この動作を悪用した実際の攻撃は確認されていませんが、重大なセキュリティリスクであると考えられていました。
これを緩和するために、現在、 IPSを監視する監視プロセス 予期せぬドロップを検知した場合は再起動します。「ホワイトリスト」としてマークされたトラフィックは、IPSに除外のために送信されなくなりました。iptablesチェーン内で直接スキップされるため、パフォーマンスが最適化され、複雑さが軽減されます。IPsecトラフィックをフィルタリングする機能も追加されました。以前は、このトラフィックは特定のケースを除いてIPS分析から除外されていましたが、今後は設定されたインターフェースを通過するたびに検査できるようになりました。
IPSウェブインターフェースに新しい機能が組み込まれました 新しいパフォーマンスチャート 処理されたトラフィックが、スキャンされたトラフィック(受信および送信)、ホワイトリストに登録されたトラフィック、バイパストラフィックの3つのカテゴリに分類されて表示されます。これにより、IPSの実際の使用状況が明確に把握でき、より適切なルールとポリシーの調整が可能になります。
OpenVPN: 設定と認証の変更
IPFireのOpenVPNモジュールには、クライアントとサーバーの設定をより柔軟にし、現在のベストプラクティスに沿ったものにするための大幅な調整が加えられました。このバージョン以降、 クライアント構成ファイルに固定のMTU値が含まれなくなりました代わりに、サーバーは各クライアントに適切なMTUを「プッシュ」します。これにより、管理者はすべてのユーザー設定を再生成することなく、この値を変更することができます。ただし、非常に古いクライアントの中には、この動作を完全に理解できないものがあることに注意してください。
OTPを使用した2段階認証を使用する場合、 ワンタイムトークンがサーバーから送信されています。 クライアントでOTPが有効になっている場合。これにより、サーバー側でロジックが一元化され、不整合が回避され、一時的な認証情報の管理が簡素化されます。
さらに、顧客プロフィールには、 PKCS#12 コンテナの外部に埋め込まれた証明機関 (CA)以前は、NetworkManagerなどのツールを使ってコマンドラインから接続をインポートする際に、証明書の重複により問題が発生する可能性がありました。CAがPKCS#12ファイルに含まれるようになったため、この重複が解消され、プロセスが簡素化され、エラーを防止できるようになりました。
「ロードウォリアー」サーバー設定にさらに設定が追加されました。OpenVPNサーバーが引き続き使用する場合 レガシーとみなされる暗号IPFireは、管理者に対し、より新しいスイートへの移行を推奨する警告を発するために、この点を強調表示します。また、複数のDNSサーバーとWINSサーバーをクライアントにプッシュすることも可能で、複数の内部ドメインや特定のネームサーバーが共存する複雑なネットワークでは非常に便利です。
OpenVPNサーバーは現在動作しています 常にマルチホームモードこれは、複数のインターフェースを持つファイアウォールでは理にかなっています。マシンがインターネットまたは内部ネットワークへの複数の送信パスを持っている場合でも、サーバーがクライアントに最初に接続したIPアドレスと同じIPアドレスで応答することを保証します。クライアントに定義された最初のカスタムルートが正しくプッシュされないバグも修正され、OTP認証フローが改善され、クライアントがスタックした場合に2要素目の入力を促すようになりました。
最後に、ポリシーはクライアント構成から削除されました auth-nocache、その以来 実際の効果はほぼゼロだった 実際には、これは誤ったセキュリティ意識を生み出していました。これらの変更により、IPFireのOpenVPNは現在のベストプラクティスに沿ったものとなり、管理者の作業負担を軽減します。
WiFi 7とWiFi 6:ワイヤレスネットワークの世代的飛躍
このアップデートの最も印象的な点の一つは、IPFire ついにWiFi 7(802.11be)とWiFi 6(802.11ax)の機能をフル活用できるようになりました 無線アクセスポイントとしての役割を果たします。ハードウェアは以前から機能していましたが、これらの規格の新機能が公開され、適切に管理されるようになりました。
ワイヤレス設定では、 優先WiFiモード 残りはIPFireにお任せください。このシステムは、既にサポートされている802.11ac/agnモードに加え、802.11beと802.11axにも完全対応しています。これには最大320MHzのチャネルの使用が含まれ、2空間ストリームで5,7Gbps以上、4空間ストリームで最大約11,5Gbpsの帯域幅をすべてワイヤレスで実現します。これらの数値はハードウェアと無線環境に依存しますが、サポートは万全であり、最新世代の機器を最大限に活用できます。
IPFireは自動的に検出します 高度なWiFiハードウェア機能以前は「HT機能」と「VHT機能」として手動で設定していた、面倒でエラーが発生しやすいプロセスが、今では内部で管理されています。デバイスがサポートするすべての機能(MU-MIMO、ワイドチャネルなど)がシステムによって自動的に有効化されるため、より安定して高速化し、管理が容易なワイヤレスネットワークが実現します。
WPA2やWPA1がまだ使用されている環境でも、IPFireでは以下の使用が可能になりました。 認証プロセスにおけるSHA256 WPA3 に対応していないクライアントのハンドシェイクを強化します。さらに、SSID 保護がデフォルトで有効になっています。保護された管理フレーム(802.11w)が使用されている場合、システムはビーコン保護と動作チャネル検証を自動的に有効にし、ネットワークシグナリングを操作する特定の攻撃を阻止します。
空気効率を向上させるために、 マルチキャストパケットはユニキャストに変換されます これは、ネットワークが主に最新の高速クライアントで構成されている場合のデフォルト設定です。この技術により、従来のマルチキャストトラフィックで無駄になるエアタイムが削減され、特に高密度ネットワークにおいて全体的なエクスペリエンスが向上します。ハードウェアが対応している場合、レーダー検出(特定の帯域でのDFSに必要)はバックグラウンドで実行されるため、Wi-Fiサービスへの顕著な中断を防ぎます。
ウェブインターフェースの形式は劇的に変わっていませんが、ほとんどの魔法は舞台裏で行われ、パラメータを最適化し、ハードウェアのパフォーマンスを最大化します。IPFireを統合したLightning Wire Labsアプライアンス これらの機能は自動的にアクティブ化されます。そのため、これらのデバイスのユーザーは、設定にあまり触れることなく、改善を実感できます。
LLDPおよびCisco Discovery Protocolのサポート
コアアップデート200では、 リンク層検出プロトコル (LLDP) と Cisco Discovery Protocol バージョン 2 (CDPv2)これらのプロトコルにより、IPFire は直接接続されたセグメント上のレイヤー 2 レベルでデバイスを「アドバタイズ」および検出することができ、複雑なネットワーク インフラストラクチャでは非常に役立ちます。
LLDP/CDPのおかげで、ファイアウォールは どのスイッチポートに接続されているか逆に、スイッチや監視ツールは、ネットワークマップ上でIPFireの位置を明確に把握できます。これは、Observiumなどのプラットフォームやその他のネットワークマッピング・監視システムとシームレスに統合され、多数のVLAN、トランクリンク、分散機器を備えた大規模環境の管理を簡素化します。
この機能は、 ウェブインターフェースのネットワーク→LLDPセクションここでは、プロトコルを有効にするインターフェース、アドバタイズする情報、およびデータをネットワーク構成の残りの部分とどのように統合するかを決定できます。
IPFire 2.29 コアアップデート 200 の DNS、PPP、その他のコアサービス
IPFireのUnboundベースのDNSプロキシも大幅にアップグレードされました。シングルスレッドモードで動作していたのに対し、 UnboundはCPUコアごとに1つのスレッドを起動するようになりましたこれにより、現在普及しているマルチコア プロセッサを活用し、負荷がかかった状態での DNS 応答時間を短縮できます。これは、多数のクライアントや多数の同時リクエストがある環境で顕著になります。
PPPアクセス接続(一部のDSL、4G、5G回線など)では、IPFireはLCPキープアライブパケットの送信を調整して、 実際にトラフィックがない場合にのみ発行してくださいこの小さな変更により、接続の負荷がわずかに軽減されます。これは、リソースが限られているモバイル リンクやデータ制限が厳しいモバイル リンクでは特に役立ちます。
管理インターフェースの視覚的な詳細が修正されました。 DNS ページには、次の凡例が一貫して表示されるようになりました。 表現された要素の、サーバーの状態、解像度、または構成された動作モードを解釈する際の混乱を回避します。
ウェブプロキシと最近のセキュリティ
HTTP/HTTPSプロキシコンポーネントにセキュリティ重視の変更が加えられました。 脆弱性 CVE-2025-62168 に対する具体的な緩和策 プロキシ設定内で、そのCVEに関連する攻撃パターンに対する保護を強化します。これにより、IPFireの透過型プロキシまたは認証済みプロキシのユーザーは、設定ファイルを手動で変更することなく、追加の対策を利用できます。
あ URLフィルタープロセスにおける競合状態特定の状況下では、フィルタリングデータベースのコンパイル中にプロセスが突然終了し、一時的な障害や不整合が発生する可能性がありました。コアアップデート200に含まれる修正により、リストのコンパイルがより堅牢に実行されるようになり、アップデート中にフィルタリングプロセスが動作不能になるリスクが最小限に抑えられます。
Webインターフェースと管理の経験
IPFireウェブインターフェースの使い勝手が向上し、バグも修正されました。[セクション名が見つかりません]の問題が解決されました。 新しい場所グループの作成を妨げるファイアウォール国や地域をグループ化し、地理的位置に基づいてルールを適用するのに非常に便利な機能です。
ハードウェアの脆弱性のセクションでは、システムが SMT(同時マルチスレッド)をサポート管理者にとって、特定の緩和策やセキュリティ状態がなぜ表示されるのかを明確に理解しやすくなりました。また、メールモジュールのバグが修正され、 特定の特殊文字を含む資格情報 保存時に「破損」し、外部メール サーバーで認証エラーが発生する可能性があります。
セキュリティアップデート: OpenSSL、glibcなど
重要なライブラリに関しては、OpenSSLは次のように更新されています。 バージョン3.6.1 CVE-2025-11187、CVE-2025-15467、CVE-2025-15468、CVE-2025-15469、CVE-2025-66199、CVE-2025-68160、CVE-2025-69418、CVE-2025-69419、CVE-2025-69420、CVE-2025-69421、CVE-2026-22795、CVE-2026-22796を含む複数の脆弱性が修正されています。このCVEの連鎖から、 暗号強化ワークロード このバージョンに含まれています。
glibc 標準ライブラリにも、関連するいくつかの脆弱性に対するパッチが適用されています。 CVE-2026-0861、CVE-2026-0915およびCVE-2025-15281これはシステム全体の中心的なコンポーネントであるため、攻撃対象領域を減らし、アプリケーションが最新の修正の恩恵を受けられるようにするためには、これを更新して修正し続けることが不可欠です。
コアパッケージとコンポーネントのメジャーアップデート
Core Update 200では、多数の更新パッケージが導入されています。中でも注目すべきものは以下のとおりです。 Apache 2.4.66、bash 5.3p9、BIND 9.20.18、coreutils 9.9、cURL 8.18.0、dhcpcd 10.3.0、elinks 0.19.0、glib 2.87.0、GnuPG 2.4.9、GnuTLS 3.8.11 harfbuzz 12.3.0、hwdata 0.403、iana-etc 20251215、intel-microcode 20251111、libarchive 3.8.5 などの他の多くのグラフィックスおよびシステム ライブラリ。
アップデートも行われています libcap-ng 0.9、libgpg-error 1.58、libidn2 2.3.8、libjpeg 3.1.3、libpcap 1.10.6、libplist 2.7.0、libpng 1.6.53、libtasn1 4.21.0、liburcu 0.15.5、libxcrypt 4.5.1LVM2 2.03.38やmdadm 4.5などのボリュームおよびRAID管理ツールも含まれます。memtest(8.00)、meson(1.10.1)、newt(0.52.25)、ninja(1.13.2)、oath-toolkit(2.6.13)、OpenVPN(2.6.17)、OpenSSL(ベーススタックでは3.6.1)、SQLite(3.51.100)、tzdata(2025c)、readline(8.3p3)、strongSwan(6.0.4)、suricata(8.0.3)、suricata-reporter(0.6)、Rust(1.92.0)、Unbound(1.24.2)、wireless-regdb(2025.10.07)、vim(9.1.2098)、xz(5.8.2)の新しいバージョンが含まれています。
アドオンに関しては更新されました alsa 1.2.15.3、ClamAV 1.5.1、dnsdist 2.0.2、fetchmail 6.6.0、gdb 17.1、Git 2.52.0、fort-validator 1.6.7、freeradius 3.2.8、libtpms 0.10.2、opus 1.6.1、postfix 3.10.6、samba 4.23.4、strace 6.18、tmux 3.6a、Tor 0.4.8.21、tshark 4.6.3これらを総合すると、この更新パッケージは、セキュリティの向上、新しいプロトコルのサポート、最新のハードウェアとの互換性、およびスタック全体に分散されたバグ修正を提供します。
注目のアドオン: arpwatch、ffmpeg など
IPFire に含まれる追加機能の中で、特に注目すべきものは次のとおりです。 新しいアドオンとしてのarpwatchこのツールは、ネットワーク上のMACアドレスを監視し、疑わしい変更(例えば、IPアドレスが別のMACアドレスに関連付けられている場合など)を警告します。同梱のバージョンでは、メールの送信者エンベロープに関する問題を修正しました。この問題により、一部のメールサーバーでメールが拒否される問題が発生していました。修正されたバージョンでは、正しい送信者アドレスが送信されるようになり、MACアドレスは常にゼロパディングで表示されるため、レポートの読みやすさが向上しました。
エルパケテ ffmpegがバージョン8.0にアップデートされました プラグインスイートに追加されました。OpenSSLおよびLAMEライブラリへの再コンパイルと再リンクにより、HTTPSおよびMP3エンコードを使用した外部ソースからのストリーミング機能を復元できるようになりました。これにより、IPFireを、セキュアなコンテンツの再生または転送を必要とするマルチメディアソリューションの統合ポイントとして利用しやすくなります。
アップデートされるその他のアクセサリには以下が含まれます dnsdist 2.0.1、fetchmail 6.5.7、最新リビジョンのhostapd(f747ae0)、libmpdclient 2.23、mpd 0.24.5、mympd 22.1.1、nano 8.7、openvmtools 13.0.5、Samba 4.23.2、shairport-sync 4.3.7、Tor 0.4.8.19、tshark 4.6.1、zabbix_agentd 7.0.21 LTSこれらのバージョンでは、バグが修正され、新機能のサポートが追加され、ベースライブラリの最新バージョンとの互換性が調整されます。
これらの変更により、IPFire 2.29コアアップデート200は、 次世代のハードウェアと標準に対応した、成熟した安全なファイアウォール プラットフォームWiFi 7から最新のカーネルバージョン、暗号化コンポーネントまで、IPFireは幅広いテクノロジーと互換性があります。家庭や企業のネットワーク保護に既にIPFireをご利用の方は、このバージョンでパフォーマンス、ネットワーク可視性、フィルタリング機能の大幅な向上を実感いただけるでしょう。これは、活発なコミュニティと、セキュリティとサポートの継続的な改善を組み込んだ開発サイクルによって支えられています。
