Atualização do IPFire 2.29 Core 199 Chega carregado de mudanças profundas. Essas atualizações afetam praticamente todas as camadas do sistema: desde o suporte a redes sem fio de última geração até a segurança reforçada do núcleo, incluindo melhorias em VPN, proxy, interface web e diversos pacotes atualizados. Esta versão, lançada inicialmente como uma versão de teste, é voltada especificamente para ambientes exigentes, tanto corporativos quanto para usuários domésticos avançados.
Ao longo deste guia, vamos detalhar... todas as inovações técnicas e funcionais Esta atualização inclui: suporte para WiFi 7 e WiFi 6, integração nativa com LLDP/CDP, um novo kernel, alterações no sistema de prevenção de intrusões, melhorias no OpenVPN, refinamentos de proxy, pequenos ajustes na interface, complementos atualizados e o significativo esforço de desenvolvimento envolvido. Se você utiliza o IPFire em um ambiente de produção, é importante entender as mudanças e como elas podem beneficiá-lo.
A atualização principal 199 do IPFire 2.29 representa um grande avanço em redes sem fio: suporte para WiFi 7 e WiFi 6.
Uma das grandes estrelas desta versão é... Compatibilidade direta do IPFire com pontos de acesso WiFi 7 e WiFi 6.Até então, parte do hardware já funcionava, mas os recursos avançados desses padrões não estavam sendo totalmente aproveitados. Com a Atualização Principal 199, o sistema agora pode tirar o máximo proveito desses recursos avançados para oferecer maior velocidade e menor latência.
Agora é possível simplesmente indicar o Modo Wi-Fi preferido na interfacee deixe que o IPFire cuide do restante da configuração. Os padrões 802.11be (WiFi 7) e 802.11ax (WiFi 6) são adicionados aos já existentes 802.11ac/agn, e uma largura de canal de até 320 MHz é suportada. Isso se traduz em números de largura de banda realmente impressionantes: mais de 5,7 Gbps com dois fluxos espaciais ou cerca de 11,5 Gbps com quatro fluxos, tudo sem fio.
Outra mudança importante é que O IPFire detecta automaticamente as capacidades do hardware Wi-Fi. e ativa os recursos compatíveis sem a necessidade de mexer em configurações complexas. Anteriormente, a configuração de "Recursos HT" e "Recursos VHT" era feita manualmente, com o consequente risco de erros e perda de tempo. Agora, o sistema se encarrega de habilitar com segurança tudo o que a placa de rede sem fio suporta, resultando em redes mais estáveis e rápidas.
Em relação à segurança sem fio, a opção é introduzida para fortalecer redes que ainda usam WPA2 ou WPA1Quando houver clientes que não podem usar o WPA3, o IPFire permitirá o uso do SHA256 durante a autenticação, fortalecendo o handshake sem forçar o abandono desses protocolos mais antigos, algo ainda necessário em muitos parques com dispositivos mistos.
Esta atualização é padrão. Ative a proteção SSID via MFP. (Proteção de Quadros de Gerenciamento, 802.11w) quando disponível. Nesses casos, o sistema ativa automaticamente a Proteção de Beacon e a Validação do Canal Operacional, dificultando ataques baseados em quadros de gerenciamento falsificados e melhorando a robustez da rede contra interferências maliciosas.
Para otimizar o uso do espectro, o IPFire incorpora um mecanismo que Converte o tráfego multicast em unicast por padrão. Isso é especialmente útil quando a maioria dos clientes são modernos e rápidos. Libera tempo de transmissão e reduz colisões, o que é particularmente útil em redes densamente povoadas que consomem muitos serviços audiovisuais ou tráfego de transmissão.
Se o hardware permitir, está feito. detecção de radar de fundoIsso é essencial para o funcionamento adequado dos canais DFS e para a conformidade com as regulamentações das faixas de frequência compartilhadas com os serviços de radar. Tudo isso está perfeitamente integrado à interface, que permanece praticamente inalterada, já que o trabalho real acontece nos bastidores.
Os produtos da Lightning Wire Labs foram projetados especificamente para o IPFire. Essas funcionalidades avançadas de Wi-Fi serão ativadas automaticamente.Isso significa que os usuários desses aparelhos poderão aproveitar ao máximo a nova bateria sem fio desde o primeiro momento.
Descoberta de rede com LLDP e Cisco Discovery Protocol
Em ambientes complexos, saber exatamente A que se conecta cada interface do firewall? É fundamental para diagnóstico e documentação. Com a atualização principal 199, o IPFire incorpora suporte nativo para LLDP (Link Layer Discovery Protocol) e CDPv2 (Cisco Discovery Protocol), dois protocolos amplamente utilizados em switches gerenciáveis e equipamentos de rede profissionais.
Graças a essa integração, o firewall pode Identificar automaticamente os dispositivos conectados a cada porta física. e determinar a qual porta do switch cada interface se conecta. Isso simplifica bastante o trabalho com racks repletos de equipamentos, VLANs, trunks e agregações, além de se integrar perfeitamente com ferramentas de monitoramento e mapeamento como o Observium.
A funcionalidade é gerenciada de forma prática através da interface web, no menu. Serviços → LLDPonde pode ser ativado, desativado ou ter seus parâmetros ajustados de acordo com as necessidades do ambiente. Dessa forma, o IPFire se torna um elemento mais visível e totalmente integrado à topologia da rede.
Kernel atualizado e melhorias de desempenho no IPFire 2.29 Core Update 199.
Outro componente fundamental desta atualização principal é o Atualização do kernel do IPFire para a versão 6.12.58 do Linux.Esta atualização de versão traz diversas correções de segurança e estabilidade, além de melhorias de desempenho que são especialmente perceptíveis em hardware moderno e cargas de trabalho exigentes.
Certos itens foram revisados. Configurações relacionadas ao agendamento, depuração e concorrência. (Depuração de preempção). Desativar ou ajustar certos parâmetros de depuração que não são necessários em produção resulta em um aumento perceptível no desempenho em muitos sistemas, reduzindo a latência e melhorando o tempo de resposta do firewall sob carga.
Fortalecimento do sistema de prevenção de intrusões (IPS)
O núcleo do IPS da IPFire, O Suricata foi atualizado para a versão 8.0.2.Essa mudança não apenas traz melhorias internas ao mecanismo de análise de tráfego, mas também abre caminho para novas regras e recursos de detecção, mantendo o sistema atualizado contra as ameaças atuais.
A funcionalidade de relatórios do IPS também recebeu Um ajuste significativo devido a problemas com o banco de dados SQLite. usado internamente. Quando este sistema estava ocupado, alguns alertas podiam ser perdidos. Este problema foi resolvido com a versão 0.5 do pacote suricata-reporter, que garante que os alertas sejam registrados e relatados de forma confiável.
Além disso, os relatórios do IPS agora terão um horário de entrega fixo às 1h da manhãEssa pequena alteração atende à solicitação de vários administradores que precisavam ter os relatórios prontos logo pela manhã, facilitando assim a revisão diária do status de segurança antes do início do expediente.
Melhorias no OpenVPN para clientes em roaming no IPFire 2.29 Core Update 199
O módulo OpenVPN Roadwarrior também recebe um pacote de pequenas, mas... Otimizações significativas para ambientes de acesso remotoEm primeiro lugar, se o servidor ainda usar cifras consideradas legadas, a interface as destacará para chamar a atenção do administrador e incentivá-lo a planejar uma migração para algoritmos mais robustos.
A possibilidade de Enviar vários servidores DNS e WINS para os clientesIsso é muito útil em redes corporativas com múltiplos domínios, servidores internos ou ambientes mistos. Simplifica bastante a configuração, sem exigir gambiarras ou scripts adicionais no lado do cliente.
O servidor OpenVPN já está funcionando. sempre em modo multi-casaIsso se alinha melhor com a realidade do IPFire, que normalmente é implementado com múltiplas interfaces de rede. Com essa configuração, o servidor responde consistentemente usando o mesmo endereço IP ao qual o cliente se conecta, independentemente de a conexão se originar da rede interna ou externa, evitando comportamentos inesperados em cenários com múltiplas rotas.
Um bug também foi corrigido. impediu que a primeira rota personalizada fosse enviada corretamente. Essa vulnerabilidade poderia tornar certas redes inacessíveis através do túnel, mesmo que o restante da configuração estivesse definido corretamente. Com a correção, as rotas personalizadas agora são distribuídas conforme o esperado.
Em relação à autenticação, o componente responsável por validar os usuários é o responsável por essa validação. Ele lida melhor com fluxos de OTP (senha de uso único).Quando o cliente fica "confuso" durante o processo de autenticação em duas etapas, o servidor fará um esforço extra para guiá-lo e concluir o login corretamente, reduzindo incidentes devido a mal-entendidos por parte do usuário final.
Finalmente, ele é removido de Arquivo de configuração do cliente com a diretiva auth-nocachevisto que se mostrou ineficaz neste contexto, removê-lo simplifica o arquivo sem afetar negativamente a segurança da implementação.
Proxy: IPFire 2.29 Core Update 199 Mitigações de Segurança e Estabilidade
O proxy do IPFire também se beneficia de alterações projetadas para Reduzir os riscos de segurança e refinar as situações de corridaEm primeiro lugar, é aplicada uma mitigação específica contra a vulnerabilidade identificada como CVE-2025-62168, reforçando a configuração para evitar possíveis explorações.
Por outro lado, está resolvido. uma condição de corrida que poderia causar o encerramento forçado do processo do filtro de URL durante a compilação de seus bancos de dados. Em certas circunstâncias, isso resultava em travamentos ocasionais ou perda de filtragem até que o serviço fosse reiniciado. Com a correção integrada, a compilação da lista deve prosseguir sem interrupção.
Pequenas, mas significativas melhorias na interface web.
A interface de administração web recebeu diversas melhorias que, embora não sejam espetaculares, Elas claramente melhoram a usabilidade no dia a dia.O módulo de firewall corrige um erro que impedia a criação de novos grupos de localização, um recurso muito útil para gerenciar regras com base em países ou regiões.
Na seção dedicada às vulnerabilidades de hardware, Agora, uma mensagem mais clara é exibida quando o sistema não oferece suporte a SMT. (Multithreading Simultâneo). Em vez de mensagens confusas, o administrador compreende melhor a situação da CPU e como ela afeta determinadas medidas de mitigação.
O módulo de e-mail ajusta o tratamento das credenciais que ele contém. caracteres especiais delicadosIsso impede que os dados sejam corrompidos ou "deturpados" durante o processo de salvamento. Isso reduz problemas na configuração de notificações e outros serviços que dependem da autenticação SMTP.
Pacote de alterações gerais e atualização do sistema
Além das funcionalidades específicas, esta atualização inclui Modificações fundamentais do sistema e um grande lote de pacotes atualizados.Em primeiro lugar, o daemon D-Bus agora está configurado para ser executado por padrão no IPFire, abrindo caminho para recursos futuros que dependerão dessa infraestrutura de mensagens interna.
O sistema de construção initramfs também evolui: O dracut foi substituído pelo dracut-ng.Como o projeto original foi abandonado pela Red Hat, essa mudança garante manutenção ativa e uma base mais sólida para os processos de inicialização e recuperação.
Entre as novas funcionalidades de utilidade, destaca-se a adição de DMA, uma ferramenta projetada para gerar caixas de correio locais. e gerenciar e-mails de forma leve, o que é especialmente útil em sistemas que não exigem um MTA complexo, mas precisam de alguma funcionalidade interna de entrega.
A pilha de criptografia também foi ajustada para alinhar o IPFire às recomendações atuais: O conjunto de cifras SSH sincroniza com o upstream. e prioriza o AES-GCM em relação ao AES-CTR, favorecendo modos autenticados mais robustos por padrão.
Também foi corrigido. uma condição de corrida na aplicação de regras de firewallNo sistema anterior, um conjunto de regras já em vigor podia desaparecer se outra regra fosse inserida ao mesmo tempo. Com este novo sistema, as regras permanecem consistentes mesmo com mudanças frequentes nas políticas.
Outras mudanças
Com relação ao catálogo de pacotes principais, a Atualização Principal 199 atualiza uma longa lista de componentes fundamentais. Estes incluem, entre muitos outros, coreutils 9.8, c-ares 1.34.5 (corrigido contra CVE-2025-31498), cURL 8.17.0 e BIND 9.20.16, pilares básicos para utilitários de sistema e resolução de nomes.
Bibliotecas e ferramentas importantes também estão sendo atualizadas, como: boost 1.89.0, btrfs-progs 6.17.1, elfutils 0.194, expat 2.7.3 (com correções para CVE-2025-59375 e CVE-2024-8176), fmt 12.1.0, FUSE 3.17.4 e glib 2.86.0, reforçando a compatibilidade e a segurança.
As atualizações estão incluídas. harfbuzz 12.1.0, hwdata 0.400, iana-etc 20251030, iproute2 6.17.0, kbd 2.9.0, less 685, libarchive 3.8.2, libcap 2.77, libgpg-error 1.56, libxml2 2.15.1 e LVM2 2.03.36Todos eles são componentes essenciais para gerenciamento de sistemas, console, armazenamento e análise de dados.
O conjunto de ferramentas de construção e desenvolvimento também está sendo atualizado com nasm 3.00, ninja 1.13.1, protobuf 33.0 e Rust 1.85.0Entretanto, o banco de dados embutido e vários serviços de rede foram aprimorados graças ao SQLite 3.51.0, Suricata 8.0.2, suricata-reporter 0.5, strongSwan 6.0.3, unbound 1.24.1 e outros.
O pacote de atualização é concluído por diversos utilitários de sistema e administrativos, tais como: sysvinit 3.14, udev 258, util-linux 2.41.2, vim 9.1.1854, whois 5.6.5, usbutils 019 e xfsprogs 6.17.0Além de várias "limpezas de código" espalhadas por todo o código, que melhoram a manutenção e reduzem a dívida técnica.
Complementos: Novos recursos e versões atualizadas
O ecossistema de plugins do IPFire também está sendo atualizado, incorporando Correções e novas funcionalidades em vários complementos.Uma das ferramentas que tem recebido atenção é o arpwatch, projetado para monitorar mudanças nos endereços MAC na rede.
Um bug que impedia o arpwatch de funcionar. Envie o nome correto do remetente nos e-mails de notificação.Isso fez com que alguns servidores rejeitassem essas mensagens. Além disso, os endereços MAC agora são sempre exibidos com zeros à esquerda, facilitando a leitura e evitando confusões.
O complemento ffmpeg foi atualizado para o A versão 8.0 incorpora uma nova ligação com o OpenSSL e a biblioteca lame.Graças a isso, o IPFire pode novamente lidar com fluxos de fontes externas via HTTPS e codificação mp3 sem problemas, recuperando as capacidades de streaming que alguns administradores sentiam falta.
Juntamente com essas alterações, vários outros pacotes dentro dos complementos foram atualizados, como: ClamAV 1.5.1, dnsdist 2.0.1, fetchmail 6.5.7, hostapd f747ae0, libmpdclient 2.23, mpd 0.24.5 e mympd 22.1.1, aprimorando as funções antivírus, DNS avançado, e-mail, serviços multimídia e gerenciamento de pontos de acesso.
A escala desta versão deixa claro que a IPFire continua a apostar em Expandir as capacidades da rede, reforçar a segurança e aprimorar continuamente a experiência de gerenciamento.Desde a nova geração de Wi-Fi e a visibilidade aprimorada com LLDP/CDP, até o kernel modernizado, o IPS mais confiável, as melhorias no OpenVPN, o proxy reforçado, pequenas correções na interface, a biblioteca de pacotes atualizada e os complementos expandidos, tudo se une para oferecer um sistema mais rápido e seguro, pronto para cenários complexos, sempre com o apoio de uma comunidade e equipe que precisam de suporte para acompanhar esse ritmo de evolução.