IPFire2.29コアアップデート199 それは大きな変化を伴って到来する これらのアップデートは、次世代ワイヤレスサポートからコアセキュリティの強化まで、システムのほぼすべてのレイヤーに影響を及ぼします。VPN、プロキシ、Webインターフェースの改善、そして多数のアップデートパッケージが含まれます。当初はテストビルドとしてリリースされたこのバージョンは、企業や上級ホームユーザーなど、要求の厳しい環境をターゲットにしています。
このガイドでは、 すべての技術的および機能的革新 このアップデートには、WiFi 7およびWiFi 6のサポート、LLDP/CDPのネイティブ統合、新しいカーネル、侵入防止システムの変更、OpenVPNの改善、プロキシの改良、インターフェースの軽微な調整、アドオンの更新、そしてその背後にある多大な開発努力が含まれています。IPFireを本番環境でご利用の場合は、変更点とそのメリットを理解しておく必要があります。
IPFire 2.29コアアップデート199は、無線ネットワークの飛躍的な進歩をもたらします:WiFi 7とWiFi 6のサポート
このバージョンの主役の一人は IPFireはWiFi 7およびWiFi 6アクセスポイントと直接互換性がありますこれまで、一部のハードウェアは既に動作していましたが、これらの規格の高度な機能は十分に活用されていませんでした。Core Update 199により、システムはこれらの高度な機能を最大限に活用し、より高速で低遅延を実現できるようになりました。
今では、 インターフェースから優先WiFiモードを選択する残りの設定はIPFireにお任せください。既存の802.11ac/agnに加え、802.11be(WiFi 7)と802.11ax(WiFi 6)が追加され、最大320MHzのチャネル幅がサポートされます。これにより、2つの空間ストリームで5,7Gbps以上、4つのストリームで約11,5Gbpsという、実に驚異的な帯域幅が実現します。
もうXNUMXつの重要な変更は IPFireはWiFiハードウェアの機能を自動的に検出します 複雑な設定をいじることなく、サポートされている機能を有効にします。以前は「HT機能」と「VHT機能」の設定は手動で行っていたため、エラーや時間の浪費のリスクがありました。現在では、ワイヤレスカードがサポートするすべての機能をシステムが安全に有効化するため、ネットワークの安定性と速度が向上します。
無線セキュリティに関しては、 WPA2またはWPA1をまだ使用しているネットワークを強化するWPA3 を使用できないクライアントがある場合、IPFire は認証中に SHA256 の使用を許可し、これらの古いプロトコルを強制的に放棄することなくハンドシェイクを強化します。これは、多くの混合デバイス パークで依然として必要なことです。
このアップデートは標準で提供されます。 MFP経由でSSID保護を有効にする (管理フレーム保護、802.11w)が利用可能な場合。これらの場合、システムはビーコン保護と動作チャネル検証を自動的に有効化し、偽装された管理フレームに基づく攻撃を阻止し、悪意のある干渉に対するネットワークの堅牢性を向上させます。
スペクトルの使用を最適化するために、IPFireは次のようなメカニズムを組み込んでいます。 デフォルトではマルチキャスト トラフィックをユニキャストに変換します。 これは、ほとんどのクライアントが最新かつ高速である場合に特に役立ちます。これにより、エアタイムが解放され、衝突が減少します。これは、オーディオビジュアルサービスやブロードキャストトラフィックを大量に消費する、人口密度の高いネットワークで特に役立ちます。
ハードウェアが許せば、それは完了です 背景レーダー検出これは、DFSチャネルの適切な動作と、レーダーサービスと共有される周波数帯域に関する規制への準拠に不可欠です。これらすべてはインターフェースにシームレスに統合されており、実際の動作は裏で行われるため、インターフェース自体に大きな変更はありません。
IPFire専用に設計されたLightning Wire Labs製品は、 これらの高度な WiFi 機能は自動的に有効になります。つまり、これらの機器のユーザーは、新しいワイヤレス バッテリーを最初から最大限に活用できることになります。
LLDPとCisco Discovery Protocolによるネットワーク検出
複雑な環境では、 各ファイアウォール インターフェイスは何に接続していますか? これは診断とドキュメント作成の鍵となります。Core Update 199では、IPFireはマネージドスイッチや業務用ネットワーク機器で広く使用されている2つのプロトコル、LLDP(Link Layer Discovery Protocol)とCDPv2(Cisco Discovery Protocol)のネイティブサポートを組み込んでいます。
この統合により、ファイアウォールは 各物理ポートに接続されたデバイスを自動的に識別します 各インターフェースがどのスイッチポートに接続されているかを判断します。これにより、ラックに機器、VLAN、トランク、アグリゲーションが多数設置されている場合の作業が大幅に簡素化され、Observiumなどの監視・マッピングツールとシームレスに統合されます。
機能は、Web インターフェイスのメニューから簡単に管理できます。 サービス → LLDP環境のニーズに応じて、IPFireを有効化、無効化、またはパラメータを調整できます。これにより、IPFireはネットワークトポロジにおいてより目立ち、完全に統合されたプレイヤーとなります。
IPFire 2.29 コアアップデート 199 におけるカーネルの更新とパフォーマンスの改善
このコアアップデートのもう一つの重要な要素は IPFire カーネルの Linux ブランチ 6.12.58 へのアップデートこのバージョン アップグレードでは、多数のセキュリティと安定性の修正に加え、最新のハードウェアと要求の厳しいワークロードで特に顕著なパフォーマンスの向上がもたらされます。
いくつかの項目が見直されました デバッグと同時実行のスケジュール設定に関連する構成設定 (プリエンプションデバッグ)。本番環境では不要な特定のデバッグパラメータを無効化または微調整すると、多くのシステムでパフォーマンスが著しく向上し、レイテンシが短縮され、負荷時のファイアウォールの応答時間が改善されます。
侵入防止システム(IPS)の強化
IPFireのIPSの心臓部は、 Suricata がバージョン 8.0.2 にアップデートされましたこの変更により、トラフィック分析エンジンの内部的な改善がもたらされるだけでなく、新しいルールや検出機能が導入され、現在の脅威に対してシステムが最新の状態に保たれます。
IPSレポート機能も SQLiteデータベースの問題による大幅な調整 内部的に使用されます。システムが混雑している場合、一部のアラートが見逃される可能性がありました。この問題はsuricata-reporterパッケージのバージョン0.5で解決され、アラートが確実に記録および報告されるようになりました。
さらに、IPSレポートには、 午前1時の固定配達スケジュールこの小さな変更は、朝一番にレポートを準備する必要があった複数の管理者の要求に応えるものであり、これにより、勤務開始前のセキュリティ ステータスの毎日の確認が容易になります。
IPFire 2.29 コアアップデート 199 におけるローミングクライアント向け OpenVPN の改善
OpenVPN Roadwarriorモジュールは、小さいながらも リモートアクセス環境の大幅な最適化まず、サーバーがレガシーと見なされる暗号をまだ使用している場合、インターフェースはそれを強調表示して管理者の注意を引き、より堅牢なアルゴリズムへの移行を計画するように促します。
可能性 複数のDNSおよびWINSサーバーをクライアントにプッシュするこれは、複数のドメイン、内部リゾルバ、または混合環境を持つ企業ネットワークで非常に便利です。クライアント側でのハッキングや追加スクリプトを必要とせず、設定を大幅に簡素化します。
OpenVPN サーバーが動作するようになりました。 常にマルチホームモードこれは、通常複数のネットワークインターフェースで導入されるIPFireの現実により合致しています。この設定により、サーバーは、接続元が内部ネットワークか外部ネットワークかに関係なく、クライアントが接続したIPアドレスと同じIPアドレスを使用して常に応答するため、複数ルートのシナリオにおける予期しない動作を防止できます。
バグも修正されました。 最初のカスタムルートが正しくプッシュされなかった この脆弱性により、他の設定が正しく定義されている場合でも、特定のネットワークがトンネル経由でアクセスできなくなる可能性があります。このパッチにより、カスタムルートが期待どおりに配布されるようになりました。
認証に関しては、ユーザーを検証するコンポーネント OTP フローをより適切に処理します。2 段階認証プロセス中にクライアントが「混乱」した場合、サーバーはクライアントをガイドしてログインを正しく完了するために特別な努力をし、エンドユーザーの誤解によるインシデントを減らします。
最後に、それは クライアント設定ファイルのauth-nocacheディレクティブこのコンテキストでは効果がなかったためです。これを削除すると、デプロイメントの実際のセキュリティに悪影響を与えることなく、ファイルが簡素化されます。
プロキシ: IPFire 2.29 コアアップデート 199 のセキュリティと安定性の緩和策
IPFireのプロキシは、次のような変更の恩恵も受けています。 安全リスクを軽減し、レース状況を改善するまず、CVE-2025-62168 として識別された脆弱性に対して特定の緩和策が適用され、悪用される可能性を防ぐための構成が強化されます。
一方、解決されている URL フィルターのプロセスが強制終了される可能性のある競合状態 データベースのコンパイル中に問題が発生しました。特定の状況下では、サービスを再起動するまで、時折クラッシュしたり、フィルタリングが失われたりする可能性がありました。組み込みの修正により、リストのコンパイルは中断することなく続行されるようになりました。
ウェブインターフェースの小さいながらも重要な改善
ウェブ管理インターフェースには、目を見張るほどではないものの、いくつかの改善が加えられました。 日常の使いやすさが明らかに向上します。ファイアウォール モジュールは、国や地域に基づいてルールを管理するのに非常に便利な機能である新しいロケーション グループの作成を妨げるバグを修正しました。
ハードウェアの脆弱性に関するセクションでは、 システムが SMT をサポートしていない場合、より明確なメッセージが表示されるようになりました。 (同時マルチスレッド)。管理者は、混乱を招くメッセージが表示される代わりに、CPU の状況とそれが特定の緩和策にどのように影響するかをよりよく理解できます。
メールモジュールは、メールに含まれる認証情報の取り扱いを調整します。 繊細な特殊文字これにより、保存中にファイルが破損したり「壊れる」のを防ぐことができます。これにより、SMTP認証を利用する通知やその他のサービスを設定する際の問題が軽減されます。
一般的な変更とシステムアップデートパッケージ
特定の機能以外にも、このアップデートには 基本的なシステム変更と大量の更新パッケージまず、D-Bus デーモンが IPFire でデフォルトで実行されるように設定され、この内部メッセージング インフラストラクチャに依存する将来の機能への道が開かれます。
initramfs 構築システムも進化しています。 dracutはdracut-ngに置き換えられました元のプロジェクトは Red Hat によって放棄されているため、この変更によりアクティブなメンテナンスが保証され、起動および回復プロセスのより強固な基盤が確保されます。
新しいユーティリティ機能の中には、 dma は、ローカルメールボックスを生成するために設計されたツールです。 軽量な方法で電子メールを管理します。これは、重い MTA は必要としないが、何らかの内部配信機能を必要とするシステムで特に役立ちます。
暗号化スタックも、IPFire を現在の推奨事項に合わせて調整します。 SSH暗号スイートはアップストリームと同期する また、AES-CTR よりも AES-GCM を優先し、デフォルトでより堅牢な認証モードを優先します。
修正もされている ファイアウォールルールの適用における競合状態以前のシステムでは、既存のルールセットが同時に別のルールを追加すると消えてしまう可能性がありました。この新しいシステムでは、ポリシーが頻繁に変更されてもルールの一貫性が維持されます。
その他の変更
コアパッケージカタログに関しては、コアアップデート199では多数の基本コンポーネントが更新されています。これには、他にも以下のようなものが含まれます。 coreutils 9.8、c-ares 1.34.5(CVE-2025-31498に対するパッチ適用済み)、cURL 8.17.0、BIND 9.20.16システム ユーティリティと名前解決の基本的な柱です。
主要なライブラリやツールもアップグレードされています。 boost 1.89.0、btrfs-progs 6.17.1、elfutils 0.194、expat 2.7.3(CVE-2025-59375およびCVE-2024-8176の修正を含む)、fmt 12.1.0、FUSE 3.17.4、glib 2.86.0互換性とセキュリティを強化します。
アップデートが含まれています harfbuzz 12.1.0、hwdata 0.400、iana-etc 20251030、iproute2 6.17.0、kbd 2.9.0、less 685、libarchive 3.8.2、libcap 2.77、libgpg-error 1.56、libxml2 2.15.1、LVM2 2.03.36これらはすべて、システム管理、コンソール、ストレージ、およびデータ解析にとって重要なコンポーネントです。
ビルドおよび開発ツールスイートも更新され、 nasm 3.00、ninja 1.13.1、protobuf 33.0、Rust 1.85.0一方、SQLite 3.51.0、Suricata 8.0.2、suricata-reporter 0.5、strongSwan 6.0.3、unbound 1.24.1 などのおかげで、組み込みデータベースとさまざまなネットワーク サービスが改善されています。
更新パッケージは、次のようなさまざまなシステムおよび管理ユーティリティによって完了します。 sysvinit 3.14、udev 258、util-linux 2.41.2、vim 9.1.1854、whois 5.6.5、usbutils 019、xfsprogs 6.17.0さらに、コード全体に広がる複数の「コード クリーンアップ」により、保守性が向上し、技術的負債が軽減されます。
アドオン: 新機能と更新バージョン
IPFireプラグインエコシステムも更新され、 いくつかのアドオンの修正と新機能注目されているツールの 1 つは、ネットワーク上の MAC アドレスの変更を監視するように設計された arpwatch です。
arpwatchが動作できないバグ 通知メールには正しい送信者名を記載してくださいこのため、一部のサーバーではこれらのメッセージを拒否していました。さらに、MACアドレスは常にゼロパディングされて表示されるようになったため、読みやすくなり、混乱を防ぐことができます。
ffmpegアドオンがアップデートされ、 バージョン8.0ではOpenSSLとlameライブラリとの新しいリンクが組み込まれていますこれにより、IPFire は HTTPS および mp3 エンコーディングを介して外部ソースからのストリームを問題なく処理できるようになり、一部の管理者が見逃していたストリーミング機能が回復されました。
これらの変更に伴い、アドオン内の多数の追加パッケージが更新されます。 ClamAV 1.5.1、dnsdist 2.0.1、fetchmail 6.5.7、hostapd f747ae0、libmpdclient 2.23、mpd 0.24.5、mympd 22.1.1ウイルス対策機能、高度な DNS、電子メール、マルチメディア サービス、アクセス ポイント管理が向上します。
このバージョンの規模は、IPFireが引き続き賭けていることを明確に示している。 ネットワーク機能を拡張し、セキュリティを強化し、管理エクスペリエンスを継続的に改善します。新世代の WiFi や LLDP/CDP による可視性の向上、最新化されたカーネル、より信頼性の高い IPS、OpenVPN の改善、強化されたプロキシ、小さなインターフェースの修正、更新されたパッケージ ライブラリ、拡張されたアドオンなど、すべてが一体となって、複雑なシナリオに対応する、より高速で安全なシステムを提供します。この進化のペースについていくためにサポートを必要とするコミュニティとチームによって常に支えられています。