L'arrivée de IPFire 2.29 – Mise à jour principale 200 Cette mise à jour majeure marque un tournant dans l'évolution de cette distribution open source de pare-feu et de routeur. Elle introduit un noyau moderne, renforce la sécurité, améliore les performances réseau et met à jour de nombreux paquets et plugins. De plus, elle intègre des technologies de pointe telles que le Wi-Fi 7 et une prise en charge avancée de la découverte du réseau.
Cette mise à jour principale ne se limite pas à des « correctifs mineurs » ; il s'agit d'une version intégrant des modifications structurellesUn nouveau système de blocage de domaines (IPFire DBL), des améliorations significatives apportées à Suricata et au système de rapports IPS, des modifications majeures d'OpenVPN, un proxy plus robuste face aux vulnérabilités récentes, la prise en charge native de LLDP/CDP et une longue liste de bibliothèques et d'outils mis à jour. Le tout en conservant l'engagement d'IPFire envers la stabilité, la sécurité et la facilité d'administration via l'interface web.
Mise à jour du noyau IPFire 2.29 : 200 modifications apportées au noyau et à la plateforme IPFire
L'une des pierres angulaires de cette version est la mise à jour du noyau IPFire. La branche système principale a été… dépassé Linux 6.18.x LTSCette mise à jour apporte de nombreuses améliorations en matière de sécurité, de performances et de compatibilité matérielle. La gamme 6.18 LTS inclut des correctifs de stabilité cumulés, les derniers correctifs de sécurité et des optimisations qui réduisent la latence et améliorent les performances du filtrage des paquets, ce qui est particulièrement important dans les environnements à fort trafic ou comportant de nombreuses règles de pare-feu et de NAT.
Le nouveau noyau apporte améliorations générales des performances du réseauIl offre un débit supérieur, une latence réduite et des fonctionnalités de filtrage de paquets plus avancées. Il intègre également les dernières mesures d'atténuation des vulnérabilités matérielles récentes, renforçant ainsi la protection contre les attaques exploitant les failles des processeurs modernes. Ceci est crucial dans les environnements où IPFire est utilisé comme pare-feu périmétrique ou dans les infrastructures critiques aux exigences de sécurité élevées.
Cette transition comporte également une décision importante : elle a La prise en charge du système de fichiers ReiserFS a été supprimée.Le noyau Linux a déclaré cette technologie obsolète, et le projet IPFire a suivi cette voie. Si votre installation IPFire actuelle utilise ReiserFS, vous ne pourrez pas appliquer directement la mise à jour principale 200. Vous devrez effectuer une réinstallation complète à l'aide d'un système de fichiers compatible (tel que ext4, XFS ou tout autre système pris en charge par les images IPFire récentes). L'interface web avertit les utilisateurs de cette restriction depuis un certain temps ; elle n'est donc pas totalement inattendue.
IPFire DBL : Nouvelle liste de blocage de domaines dans la mise à jour principale 200 d’IPFire 2.29
Depuis que la célèbre liste Shalla est devenue indisponible, le proxy web d'IPFire s'est retrouvé sans solution. source stable de domaines pour le filtrage Contenu malveillant, réseaux sociaux ou sites pour adultes. Face à l'absence d'alternatives véritablement complètes et mises à jour, l'équipe d'IPFire a décidé de créer et de maintenir sa propre liste de blocage de domaines : IPFire DBL.
IPFire DBL est situé dans un phase bêta précoceCependant, il peut déjà être utilisé fonctionnellement dans deux points clés du système :
- Filtre d'URL proxyL'administrateur peut sélectionner IPFire DBL comme source des domaines à bloquer. Ainsi, tout accès transitant par le proxy HTTP/HTTPS sera vérifié par rapport à la liste, empêchant l'accès à des catégories de sites potentiellement dangereux ou indésirables.
- Intégration avec Suricata (IPS)Avec l'arrivée d'IPFire DBL, le projet devient également un fournisseur de règles pour Suricata. En combinant la base de données de domaines avec l'inspection approfondie des paquets (DNS, TLS, HTTP, QUIC), le système de prévention d'intrusion (IPS) peut bloquer plus efficacement les connexions vers les domaines interdits, même lorsqu'elles contournent le proxy traditionnel.
Bien que la base de données soit encore en expansion, l'objectif est d'offrir aux utilisateurs d'IPFire une liste de blocage robuste, à jour et spécialement conçue L'objectif est d'intégrer le logiciel à l'écosystème des pare-feu. L'équipe encourage la communauté à le tester, à signaler les problèmes rencontrés et à formuler des suggestions pour les versions ultérieures, qui devraient bénéficier d'améliorations significatives et de nouvelles fonctionnalités.
La mise à jour 200 du noyau IPFire 2.29 apporte des améliorations au système de prévention des intrusions (IPS).
Le système IPS basé sur Suricata fait l'objet d'une série de modifications importantes visant à améliorer la performance, la fiabilité et l'utilité de ses rapports. Une mise à jour précédente a introduit la possibilité de stocker les signatures précompilées dans le cache pour accélérer le chargement de Suricata. Cependant, ce cache pourrait croître de manière incontrôlable et occuper une quantité excessive d'espace disque.
Pour corriger ce comportement, la mise à jour principale 200 intègre un Correctif permettant à Suricata de supprimer automatiquement les signatures inutiliséesCela permet de conserver l'avantage de temps de démarrage rapides sans compromettre le stockage à long terme, ce qui est crucial pour les appareils dotés de petits disques ou les appliances dédiées.
Le module de signalement (suricata-reporter) a également été étendu : désormais, pour les alertes liées à DNS, HTTP, TLS ou QUICDes informations complémentaires, telles que le nom d'hôte et d'autres détails pertinents, sont ajoutées. Ces informations figurent dans les courriels d'alerte et les rapports PDF, permettant ainsi aux administrateurs d'enquêter plus précisément sur les incidents de sécurité potentiels ou les violations des politiques d'entreprise.
Outre ces modifications, une mise à jour récente, proche de la mise à jour principale 200, a introduit Améliorations dans la gestion du système IPS en cas de défaillanceSur les systèmes à mémoire limitée, il a été constaté qu'en cas de plantage ou d'arrêt brutal de Suricata par le système pour libérer de la RAM, le pare-feu pouvait rester plus ouvert que nécessaire, exposant ainsi des services internes. Bien qu'aucune attaque exploitant cette faille n'ait été observée, elle a été considérée comme un risque de sécurité important.
Pour atténuer ce problème, il existe désormais une processus vigilant qui supervise l'IPS Le système redémarre en cas de déconnexion inattendue. Le trafic marqué comme « autorisé » n'est plus envoyé au système de prévention d'intrusion (IPS) pour exclusion : il est directement ignoré dans la chaîne iptables, ce qui optimise les performances et simplifie le système. La possibilité de filtrer le trafic IPsec a également été ajoutée ; auparavant, ce trafic était exclu de l'analyse IPS, sauf dans quelques cas spécifiques, et peut désormais être inspecté dès qu'il transite par les interfaces configurées.
Une nouvelle fonctionnalité a été intégrée à l'interface web IPS. nouveau graphique de performance Ce graphique présente le trafic traité, divisé en trois catégories : trafic analysé (entrant et sortant), trafic autorisé et trafic de contournement. Il offre une vision claire de l’utilisation réelle du système de prévention d’intrusion (IPS) et permet d’ajuster plus efficacement les règles et les politiques.
OpenVPN : Modifications de la configuration et de l’authentification
Le module OpenVPN d'IPFire bénéficie d'importantes améliorations afin de rendre la configuration client et serveur plus flexible et conforme aux meilleures pratiques actuelles. À partir de cette version, Les fichiers de configuration client n'incluent plus la valeur MTU fixe.Le serveur transmettra la MTU appropriée à chaque client, permettant ainsi à l'administrateur de modifier cette valeur sans avoir à régénérer toutes les configurations utilisateur. Il est important de noter que certains clients très anciens peuvent ne pas prendre en charge ce comportement.
Si l'authentification à deux facteurs avec OTP est utilisée, Un jeton à usage unique est en cours d'envoi par le serveur. lorsque le client a activé l'authentification à deux facteurs (OTP). Cela centralise la logique côté serveur, évitant les incohérences et simplifiant la gestion des identifiants temporaires.
De plus, les profils clients n'incluent plus les Autorité de certification (CA) intégrée en dehors du conteneur PKCS#12Auparavant, cela pouvait poser problème lors de l'importation de connexions avec des outils comme NetworkManager en ligne de commande, en raison de certificats dupliqués. L'autorité de certification étant désormais incluse dans le fichier PKCS#12, cette redondance a été éliminée, simplifiant ainsi le processus et évitant les erreurs.
Des paramètres supplémentaires ont été ajoutés à la configuration du serveur « roadwarrior ». Lorsqu'un serveur OpenVPN continue d'utiliser des chiffrements considérés comme héritageIPFire met désormais ce point en évidence pour avertir l'administrateur qu'une migration vers des suites plus modernes serait conseillée. Il permet également de déployer plusieurs serveurs DNS et WINS sur les clients, ce qui s'avère très utile dans les réseaux complexes où coexistent plusieurs domaines internes ou serveurs de noms spécifiques.
Le serveur OpenVPN fonctionne désormais. toujours en mode multi-domicileCela est logique pour un pare-feu doté de plusieurs interfaces. Cela garantit que le serveur répond aux clients en utilisant la même adresse IP que celle à laquelle ils se sont initialement connectés, même si la machine possède plusieurs chemins sortants vers Internet ou les réseaux internes. Un bug qui empêchait le bon déploiement de la première route personnalisée définie pour les clients a également été corrigé, et le processus d'authentification par mot de passe à usage unique (OTP) a été amélioré afin d'inviter le client à fournir le deuxième facteur d'authentification en cas de blocage.
Finalement, cette politique a été supprimée des configurations client. auth-nocachedepuis sa L'effet réel fut pratiquement nul. En pratique, cela engendrait un faux sentiment de sécurité. Grâce à ces modifications, OpenVPN dans IPFire est désormais plus conforme aux bonnes pratiques actuelles et simplifie la tâche des administrateurs.
WiFi 7 et WiFi 6 : un bond générationnel dans les réseaux sans fil
L'un des aspects les plus frappants de cette mise à jour est qu'IPFire enfin profiter pleinement des capacités du WiFi 7 (802.11be) et du WiFi 6 (802.11ax) pour son rôle de point d'accès sans fil. Bien que le matériel ait déjà fonctionné auparavant, les nouvelles fonctionnalités de ces normes sont désormais disponibles et correctement gérées.
Dans les paramètres sans fil, vous pouvez choisir Mode Wi-Fi préféré Laissez IPFire gérer le reste. Le système prend entièrement en charge les normes 802.11be et 802.11ax, en plus des modes 802.11ac/agn déjà compatibles. Il permet notamment l'utilisation de canaux jusqu'à 320 MHz, offrant ainsi des débits supérieurs à 5,7 Gbit/s avec deux flux spatiaux et jusqu'à environ 11,5 Gbit/s avec quatre flux, le tout sans fil. Ces performances dépendent bien sûr du matériel et de l'environnement radio, mais la compatibilité est assurée et prête à exploiter pleinement les équipements de dernière génération.
IPFire détecte désormais automatiquement le capacités matérielles WiFi avancéesCe qui était auparavant configuré manuellement sous les noms « Capacités HT » et « Capacités VHT » — un processus fastidieux et source d'erreurs — est désormais géré en interne. Le système active automatiquement toutes les fonctionnalités prises en charge par l'appareil (MU-MIMO, canaux larges, etc.), ce qui permet d'obtenir des réseaux sans fil plus stables, plus rapides et plus faciles à gérer.
Dans les environnements où WPA2 ou même WPA1 sont encore utilisés, IPFire permet désormais l'utilisation de SHA256 dans le processus d'authentification Pour renforcer la connexion avec les clients incompatibles avec WPA3. De plus, la protection SSID est activée par défaut : si des trames de gestion protégées (802.11w) sont utilisées, le système active automatiquement la protection des balises et la validation du canal opérationnel, empêchant ainsi certaines attaques manipulant la signalisation réseau.
Pour améliorer l'efficacité de l'air, Les paquets multicast sont convertis en unicast. Il s'agit du réglage par défaut lorsque le réseau est principalement composé de clients modernes à haut débit. Cette technique réduit le temps d'antenne gaspillé sur le trafic multicast traditionnel et améliore l'expérience globale, notamment sur les réseaux denses. Si le matériel le permet, la détection radar (nécessaire pour le DFS sur certaines bandes de fréquences) est effectuée en arrière-plan, évitant ainsi toute interruption perceptible du service Wi-Fi.
Bien que l'interface web n'ait pas fondamentalement changé, l'essentiel du travail s'effectue en arrière-plan, optimisant les paramètres et maximisant les performances matérielles. Les appliances Lightning Wire Labs qui intègrent IPFire Ces fonctionnalités sont activées automatiquement.Les utilisateurs de ces appareils constateront donc les améliorations sans avoir à modifier beaucoup les paramètres.
Prise en charge des protocoles LLDP et Cisco Discovery Protocol
La mise à jour principale 200 intègre nativement la prise en charge de Protocole de découverte de couche de liaison (LLDP) et protocole de découverte Cisco version 2 (CDPv2)Ces protocoles permettent à IPFire de « révéler » et de découvrir des périphériques au niveau de la couche 2 sur des segments directement connectés, ce qui est très utile dans les infrastructures réseau complexes.
Grâce à LLDP/CDP, le pare-feu peut identifier À quels ports du commutateur est-il connecté ?À l'inverse, les commutateurs et les outils de surveillance peuvent clairement localiser IPFire sur la carte réseau. Cette fonctionnalité s'intègre parfaitement aux plateformes telles qu'Observium et autres systèmes de cartographie et de surveillance réseau, simplifiant ainsi la gestion des environnements complexes comportant de nombreux VLAN, liaisons trunk et équipements distribués.
La fonctionnalité est activée et configurée à partir du interface web, dans la section Réseau → LLDPoù vous pouvez décider sur quelles interfaces le protocole est activé, quelles informations sont diffusées et comment les données sont intégrées au reste de la configuration réseau.
DNS, PPP et autres services essentiels dans la mise à jour principale 200 d'IPFire 2.29
Le proxy DNS d'IPFire basé sur Unbound a également bénéficié d'une mise à jour importante. Au lieu de fonctionner en mode mono-thread, Unbound lance désormais un thread par cœur de processeur.Cela vous permet de tirer parti des processeurs multicœurs si courants de nos jours et de réduire les temps de réponse DNS en cas de charge, ce qui est perceptible dans les environnements comportant de nombreux clients ou de nombreuses requêtes simultanées.
Dans les connexions d'accès PPP (telles que certaines lignes DSL, 4G ou 5G), IPFire ajuste l'envoi des paquets de maintien de connexion LCP. Ne les délivrez que lorsqu'il n'y a pas de trafic réel sur la ligne.Ce petit changement réduit légèrement la charge sur la connexion, ce qui est particulièrement appréciable sur les liaisons mobiles aux ressources plus limitées ou soumises à des limites de données strictes.
Un détail visuel a été corrigé dans l'interface d'administration : La page DNS affiche désormais systématiquement la légende suivante : des éléments représentés, évitant toute confusion lors de l'interprétation de l'état des serveurs, des résolutions ou des modes de fonctionnement configurés.
Proxy Web et sécurité récente
Le composant proxy HTTP/HTTPS a fait l'objet de modifications axées sur la sécurité. Mesures d'atténuation spécifiques pour la vulnérabilité CVE-2025-62168 Au sein de la configuration du proxy, la protection contre les attaques liées à cette vulnérabilité (CVE) est renforcée. Ainsi, les utilisateurs du proxy transparent ou authentifié d'IPFire bénéficient de mesures supplémentaires sans avoir à modifier manuellement les fichiers de configuration.
UN condition de concurrence dans le processus de filtrage d'URLDans certaines circonstances, lors de la compilation des bases de données de filtrage, le processus pouvait s'interrompre brutalement, entraînant des pannes ou des incohérences temporaires. Grâce au correctif inclus dans la mise à jour principale 200, la compilation des listes est désormais plus robuste, minimisant ainsi le risque d'indisponibilité du processus de filtrage pendant les mises à jour.
Expérience en interface web et administration
L'interface web d'IPFire a bénéficié de plusieurs améliorations d'ergonomie et corrections de bugs. Un problème dans la [nom de la section] a été résolu. pare-feu qui empêchait la création de nouveaux groupes de localisation, une fonction très utile pour regrouper des pays ou des régions et appliquer des règles basées sur la géolocalisation.
Dans la section relative aux vulnérabilités matérielles, le message affiché lorsque le système ne prend en charge SMT (multithreading simultané)Ce document explique à l'administrateur pourquoi certaines mesures d'atténuation ou certains états de sécurité apparaissent d'une manière ou d'une autre. De plus, un bug du module de messagerie a été corrigé. identifiants avec certains caractères spéciaux Elles pourraient être « corrompues » lors de leur stockage, provoquant des erreurs d'authentification auprès des serveurs de messagerie externes.
Mises à jour de sécurité : OpenSSL, glibc et plus encore
En ce qui concerne les bibliothèques critiques, OpenSSL est mis à jour en Version 3.6.1 et de nombreuses vulnérabilités ont été corrigées, notamment CVE-2025-11187, CVE-2025-15467, CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795 et CVE-2026-22796. Cette série de corrections de CVE donne une idée de l'ampleur du problème. charge de travail de renforcement cryptographique qui est inclus dans cette version.
La bibliothèque standard glibc a également été corrigée pour plusieurs vulnérabilités importantes : CVE-2026-0861, CVE-2026-0915 et CVE-2025-15281Étant donné qu'il s'agit d'un élément central de l'ensemble du système, il est essentiel de le maintenir à jour et de le corriger afin de réduire la surface d'attaque et de garantir que les applications bénéficient des correctifs les plus récents.
Mise à jour majeure des packages et composants principaux
La mise à jour principale 200 apporte une multitude de paquets mis à jour. Parmi les plus notables : Apache 2.4.66, bash 5.3p9, BIND 9.20.18, coreutils 9.9, cURL 8.18.0, dhcpcd 10.3.0, elinks 0.19.0, glib 2.87.0, GnuPG 2.4.9, GnuTLS 3.8.11 et de nombreuses autres bibliothèques graphiques et système telles que harfbuzz 12.3.0, hwdata 0.403, iana-etc 20251215, intel-microcode 20251111 ou libarchive 3.8.5.
Ils sont également mis à jour libcap-ng 0.9, libgpg-error 1.58, libidn2 2.3.8, libjpeg 3.1.3, libpcap 1.10.6, libplist 2.7.0, libpng 1.6.53, libtasn1 4.21.0, liburcu 0.15.5, libxcrypt 4.5.1ainsi que des outils de gestion de volumes et de RAID tels que LVM2 2.03.38 et mdadm 4.5. De nouvelles versions de memtest (8.00), meson (1.10.1), newt (0.52.25), ninja (1.13.2), oath-toolkit (2.6.13), OpenVPN (2.6.17), OpenSSL (3.6.1 dans la pile de base), SQLite (3.51.100), tzdata (2025c), readline (8.3p3), strongSwan (6.0.4), suricata (8.0.3), suricata-reporter (0.6), Rust (1.92.0), Unbound (1.24.2), wireless-regdb (2025.10.07), vim (9.1.2098) et xz (5.8.2) sont incluses.
Quant aux modules complémentaires, ils ont été mis à jour. alsa 1.2.15.3, ClamAV 1.5.1, dnsdist 2.0.2, fetchmail 6.6.0, gdb 17.1, Git 2.52.0, fort-validator 1.6.7, freeradius 3.2.8, libtpms 0.10.2, opus 1.6.1, postfix 3.10.6, samba 4.23.4, strace 6.18, tmux 3.6a, Tor 0.4.8.21 et tshark 4.6.3Dans son ensemble, ce pack de mise à jour apporte des améliorations de sécurité, la prise en charge de nouveaux protocoles, la compatibilité avec le matériel moderne et des corrections de bogues réparties sur l'ensemble de la pile.
Modules complémentaires proposés : arpwatch, ffmpeg et autres
Parmi les fonctionnalités supplémentaires incluses avec IPFire, les suivantes se distinguent : arpwatch comme nouveau module complémentaireCet outil surveille les adresses MAC sur le réseau et vous alerte en cas de modifications suspectes (par exemple, lorsqu'une adresse IP est associée à une adresse MAC différente). La version incluse corrige un problème d'affichage de l'adresse de l'expéditeur dans les e-mails, qui entraînait le rejet de certains serveurs de messagerie. Désormais, l'adresse de l'expéditeur est correcte et les adresses MAC sont toujours affichées sans zéros superflus, ce qui améliore la lisibilité des rapports.
El Paquete ffmpeg a été mis à jour vers la version 8.0 Dans la suite de plugins, le module a été recompilé et relié à OpenSSL et à la bibliothèque LAME, permettant ainsi la récupération des fonctionnalités de streaming depuis des sources externes via HTTPS et l'encodage MP3. Ceci facilite l'utilisation d'IPFire comme point d'intégration pour les solutions multimédias nécessitant la lecture ou la transmission de contenu sécurisé.
Parmi les autres accessoires qui sont en cours de mise à jour, on peut citer : dnsdist 2.0.1, fetchmail 6.5.7, hostapd (révisions récentes : f747ae0), libmpdclient 2.23, mpd 0.24.5, mympd 22.1.1, nano 8.7, openvmtools 13.0.5, Samba 4.23.2, shairport-sync 4.3.7, Tor 0.4.8.19, tshark 4.6.1 et zabbix_agentd 7.0.21 LTSCes versions corrigent les bogues, ajoutent la prise en charge de nouvelles fonctionnalités et ajustent la compatibilité avec les versions modernes des bibliothèques de base.
Avec tous ces changements, IPFire 2.29 Core Update 200 est consolidé en tant que Plateforme pare-feu mature et sécurisée, prête pour les matériels et normes de nouvelle génération.Compatible avec un large éventail de technologies, IPFire prend en charge le Wi-Fi 7, les dernières versions du noyau et les composants cryptographiques. Les utilisateurs d'IPFire qui protègent leurs réseaux domestiques ou professionnels bénéficieront, dans cette version, d'une nette amélioration des performances, de la visibilité du réseau et des capacités de filtrage. Cette version s'appuie sur une communauté active et un cycle de développement qui intègre en permanence des améliorations en matière de sécurité et de support.
