Kedatangan de IPFire 2.29 – Pembaruan Inti 200 Ini menandai titik balik dalam evolusi distribusi firewall dan router sumber terbuka ini. Ini adalah pembaruan besar yang memperkenalkan kernel modern, memperkuat keamanan, meningkatkan kinerja jaringan, dan memperbarui sejumlah besar paket dan plugin. Selain itu, ia menambahkan teknologi mutakhir seperti WiFi 7 dan dukungan penemuan jaringan tingkat lanjut.
Pembaruan Inti ini tidak terbatas pada "patch kecil"; ini adalah sebuah versi yang sarat dengan perubahan strukturalSistem daftar blokir domain baru (IPFire DBL), peningkatan signifikan pada Suricata dan sistem pelaporan IPS, perubahan besar pada OpenVPN, proxy yang lebih tangguh terhadap kerentanan terbaru, dukungan asli untuk LLDP/CDP, dan daftar panjang pustaka dan alat yang diperbarui. Semua ini tetap mempertahankan fokus IPFire pada stabilitas, keamanan, dan kemudahan administrasi melalui antarmuka web.
Pembaruan Inti IPFire 2.29 200: Perubahan kernel dan platform IPFire baru
Salah satu pilar utama dari rilis ini adalah pembaruan kernel IPFire. Cabang sistem utama telah disalip Linux 6.18.x LTSIni menghadirkan gelombang peningkatan dalam keamanan, kinerja, dan kompatibilitas perangkat keras. Seri 6.18 LTS mencakup perbaikan stabilitas yang terakumulasi, patch keamanan terbaru, dan optimasi yang mengurangi latensi dan meningkatkan kinerja penyaringan paket—terutama relevan dalam skenario lalu lintas tinggi atau yang memiliki banyak aturan firewall dan NAT.
Kernel baru ini menghadirkan peningkatan umum dalam kinerja jaringanIa menawarkan throughput yang lebih tinggi, latensi yang lebih rendah, dan kemampuan penyaringan paket yang lebih canggih. Ia juga mengintegrasikan mitigasi terbaru terhadap kerentanan perangkat keras terkini, memperkuat perlindungan terhadap serangan yang mengeksploitasi kelemahan pada CPU modern. Hal ini sangat penting di lingkungan di mana IPFire digunakan sebagai firewall perimeter atau di infrastruktur kritis dengan persyaratan keamanan tinggi.
Dalam transisi ini juga terdapat keputusan penting: hal itu telah Dukungan untuk sistem file ReiserFS telah dihapus.Kernel Linux sendiri telah menandai teknologi ini sebagai usang, dan proyek IPFire pun mengikutinya. Jika instalasi IPFire Anda saat ini menggunakan ReiserFS, Anda tidak akan dapat menerapkan Core Update 200 secara langsung. Sebagai gantinya, Anda harus melakukan instalasi ulang bersih menggunakan sistem file yang didukung (seperti ext4, XFS, atau sistem file lain yang didukung oleh image IPFire terbaru). Antarmuka web telah memperingatkan pengguna tentang hal ini sejak beberapa waktu lalu, jadi pembatasan ini bukanlah hal yang sepenuhnya tidak terduga.
IPFire DBL: Daftar blokir domain baru di IPFire 2.29 Core Update 200
Sejak daftar Shalla yang terkenal itu tidak tersedia lagi, proxy web IPFire pun kehilangan alternatifnya. sumber domain yang stabil untuk penyaringan konten berbahaya, media sosial, atau situs web dewasa. Mengingat kurangnya alternatif yang benar-benar komprehensif dan terawat, tim IPFire telah memutuskan untuk membuat dan memelihara daftar blokir domain sendiri: IPFire DBL.
IPFire DBL terletak di fase beta awalNamun, sistem ini sudah dapat digunakan secara fungsional pada dua titik kunci:
- Filter URL proxyAdministrator dapat memilih IPFire DBL sebagai sumber domain yang akan diblokir. Dengan cara ini, setiap akses yang melewati proxy HTTP/HTTPS akan diperiksa terhadap daftar tersebut, sehingga mencegah akses ke kategori situs yang berpotensi berbahaya atau tidak diinginkan.
- Integrasi dengan Suricata (IPS)Dengan hadirnya IPFire DBL, proyek ini juga menjadi penyedia aturan untuk Suricata. Dengan menggabungkan basis data domain dengan inspeksi paket mendalam (DNS, TLS, HTTP, QUIC), IPS dapat memblokir koneksi ke domain terlarang dengan lebih menyeluruh, bahkan ketika koneksi tersebut melewati proxy tradisional.
Meskipun basis data masih terus berkembang, tujuannya adalah untuk menawarkan kepada pengguna IPFire sebuah daftar blokir yang kuat, terkini, dan dirancang secara khusus untuk berintegrasi dengan ekosistem firewall. Tim mendorong komunitas untuk mengujinya, melaporkan masalah, dan memberikan saran untuk memperbaikinya di versi mendatang, di mana peningkatan signifikan dan kemampuan baru diharapkan.
IPFire 2.29 Core Update 200 memperkenalkan peningkatan pada sistem pencegahan intrusi (IPS).
IPS berbasis Suricata sedang menerima serangkaian perubahan signifikan yang bertujuan untuk meningkatkan kinerja, keandalan, dan kegunaan laporannya. Pembaruan sebelumnya memperkenalkan kemampuan untuk simpan tanda tangan yang telah dikompilasi sebelumnya di dalam cache untuk mempercepat proses pemuatan Suricata. Namun, cache tersebut dapat tumbuh tanpa terkendali dan memakan terlalu banyak ruang disk.
Untuk memperbaiki perilaku ini, Core Update 200 menyertakan sebuah Patch yang memungkinkan Suricata untuk secara otomatis menghapus tanda tangan yang tidak digunakan.Hal ini mempertahankan manfaat waktu booting yang cepat tanpa mengorbankan penyimpanan jangka panjang, yang sangat penting untuk perangkat dengan disk kecil atau perangkat khusus.
Komponen pelaporan (suricata-reporter) juga telah diperluas: sekarang, untuk peringatan yang terkait dengan DNS, HTTP, TLS atau QUICInformasi tambahan, seperti nama host dan detail relevan lainnya, ditambahkan. Informasi ini muncul baik dalam email peringatan maupun laporan PDF, membantu administrator menyelidiki potensi insiden keamanan atau pelanggaran kebijakan perusahaan dengan lebih akurat.
Selain perubahan-perubahan ini, pembaruan terbaru yang mendekati Core Update 200 memperkenalkan Peningkatan dalam pengelolaan IPS jika terjadi kegagalanPada sistem dengan memori terbatas, diamati bahwa jika Suricata mengalami crash atau dihentikan oleh sistem untuk membebaskan RAM, firewall dapat menjadi lebih terbuka daripada yang diinginkan, sehingga mengekspos layanan internal. Meskipun tidak ada serangan nyata yang mengeksploitasi perilaku ini yang diamati, hal ini dianggap sebagai risiko keamanan yang signifikan.
Untuk mengatasi hal ini, sekarang ada sebuah proses pengawasan yang cermat terhadap IPS dan akan memulai ulang jika mendeteksi penurunan yang tidak terduga. Lalu lintas yang ditandai sebagai "whitelisted" tidak lagi dikirim ke IPS untuk dikecualikan: lalu lintas tersebut langsung dilewati dalam rantai iptables, mengoptimalkan kinerja dan mengurangi kompleksitas. Kemampuan untuk memfilter lalu lintas IPsec juga telah ditambahkan; sebelumnya, lalu lintas ini dikecualikan dari analisis IPS kecuali dalam beberapa kasus tertentu, dan sekarang dapat diperiksa setiap kali dirutekan melalui antarmuka yang dikonfigurasi.
Fitur baru telah ditambahkan ke antarmuka web IPS. grafik kinerja baru Ini menunjukkan lalu lintas yang diproses dibagi menjadi tiga kategori: lalu lintas yang dipindai (masuk dan keluar), lalu lintas yang diizinkan (whitelisted), dan lalu lintas yang dilewati (bypass). Hal ini memberikan gambaran yang jelas tentang penggunaan IPS yang sebenarnya dan memungkinkan penyesuaian aturan dan kebijakan yang lebih tepat.
OpenVPN: Perubahan dalam konfigurasi dan otentikasi
Modul OpenVPN di IPFire menerima serangkaian penyesuaian signifikan untuk membuat konfigurasi klien dan server lebih fleksibel dan selaras dengan praktik terbaik saat ini. Mulai dari versi ini, File konfigurasi klien tidak lagi menyertakan nilai MTU tetap.Sebaliknya, server akan "mendorong" MTU yang sesuai ke setiap klien, memungkinkan administrator untuk mengubah nilai ini tanpa harus membuat ulang semua konfigurasi pengguna. Perlu dicatat bahwa beberapa klien yang sangat lama mungkin tidak sepenuhnya memahami perilaku ini.
Jika otentikasi dua langkah dengan OTP digunakan, maka Token sekali pakai kini sedang dikirim dari server. saat klien mengaktifkan OTP. Ini memusatkan logika di sisi server, menghindari inkonsistensi dan menyederhanakan pengelolaan kredensial sementara.
Selain itu, profil pelanggan tidak lagi mencakup hal-hal berikut: Otoritas sertifikasi (CA) tertanam di luar kontainer PKCS#12Sebelumnya, hal ini dapat menyebabkan masalah saat mengimpor koneksi dengan alat seperti NetworkManager dari baris perintah, karena adanya sertifikat duplikat. Karena CA sekarang disertakan dalam file PKCS#12, redundansi ini telah dihilangkan untuk menyederhanakan proses dan mencegah kesalahan.
Beberapa pengaturan tambahan telah ditambahkan ke konfigurasi server "roadwarrior". Saat server OpenVPN terus digunakan sandi yang dianggap warisanIPFire kini menyoroti hal ini untuk memperingatkan administrator bahwa migrasi ke rangkaian perangkat lunak yang lebih modern akan lebih disarankan. Fitur ini juga memungkinkan untuk mengirimkan beberapa server DNS dan WINS ke klien, yang sangat berguna dalam jaringan kompleks di mana beberapa domain internal atau server nama tertentu ada secara bersamaan.
Server OpenVPN sekarang berfungsi. selalu dalam mode multi-rumahHal ini masuk akal dalam firewall dengan banyak antarmuka. Ini memastikan bahwa server merespons klien menggunakan alamat IP yang sama dengan yang awalnya mereka hubungkan, bahkan jika mesin tersebut memiliki beberapa jalur keluar ke internet atau jaringan internal. Bug yang mencegah rute kustom pertama yang didefinisikan untuk klien agar tidak dikirim dengan benar juga telah diperbaiki, dan alur otentikasi OTP telah ditingkatkan untuk meminta klien menyelesaikan faktor kedua jika mengalami masalah.
Akhirnya, kebijakan tersebut telah dihapus dari konfigurasi klien. auth-nocache, sejak itu Dampak sebenarnya praktis nol. Dalam praktiknya, hal ini menciptakan rasa aman yang semu. Dengan perubahan ini, OpenVPN di IPFire kini lebih sesuai dengan praktik terbaik saat ini dan mempermudah pekerjaan administrator.
WiFi 7 dan WiFi 6: lompatan generasi dalam jaringan nirkabel
Salah satu aspek yang paling mencolok dari pembaruan ini adalah IPFire. akhirnya memanfaatkan sepenuhnya kemampuan WiFi 7 (802.11be) dan WiFi 6 (802.11ax) untuk perannya sebagai titik akses nirkabel. Meskipun perangkat kerasnya sudah dapat berfungsi sebelumnya, fitur-fitur baru dari standar ini sekarang diekspos dan dikelola dengan baik.
Di pengaturan nirkabel, Anda dapat memilih Mode WiFi pilihan dan biarkan IPFire menangani sisanya. Sistem ini menambahkan dukungan penuh untuk 802.11be dan 802.11ax, bersama dengan mode 802.11ac/agn yang sudah didukung. Ini termasuk penggunaan saluran hingga 320 MHz, memungkinkan bandwidth lebih dari 5,7 Gbps dengan dua aliran spasial atau hingga sekitar 11,5 Gbps dengan empat aliran, semuanya secara nirkabel. Angka-angka ini jelas bergantung pada perangkat keras dan lingkungan radio, tetapi dukungannya ada dan siap untuk memanfaatkan sepenuhnya peralatan generasi terbaru.
IPFire sekarang secara otomatis mendeteksi kemampuan perangkat keras WiFi tingkat lanjutApa yang sebelumnya dikonfigurasi secara manual sebagai "Kemampuan HT" dan "Kemampuan VHT"—suatu proses yang membosankan dan rawan kesalahan—kini dikelola secara internal. Sistem secara otomatis mengaktifkan semua fitur yang didukung oleh perangkat (MU-MIMO, saluran lebar, dll.), sehingga menghasilkan jaringan nirkabel yang lebih stabil, lebih cepat, dan lebih mudah dikelola.
Di lingkungan yang masih menggunakan WPA2 atau bahkan WPA1, IPFire kini memungkinkan penggunaan SHA256 dalam proses otentikasi Untuk memperkuat proses jabat tangan (handshake) bagi klien yang tidak dapat bekerja dengan WPA3. Selain itu, perlindungan SSID diaktifkan secara default: jika frame manajemen yang dilindungi (802.11w) sedang digunakan, sistem secara otomatis mengaktifkan perlindungan beacon dan validasi saluran operasional, sehingga menghalangi serangan tertentu yang memanipulasi sinyal jaringan.
Untuk meningkatkan efisiensi udara, Paket multicast dikonversi menjadi unicast. Ini adalah pengaturan default ketika jaringan sebagian besar terdiri dari klien modern berkecepatan tinggi. Teknik ini mengurangi waktu transmisi yang terbuang pada lalu lintas multicast tradisional dan meningkatkan pengalaman secara keseluruhan, terutama di jaringan padat. Jika perangkat keras memungkinkan, deteksi radar (diperlukan untuk DFS di pita frekuensi tertentu) dilakukan di latar belakang, mencegah gangguan yang terlihat pada layanan Wi-Fi.
Meskipun antarmuka web tidak berubah secara radikal, sebagian besar keajaiban terjadi di balik layar, mengoptimalkan parameter dan memaksimalkan kinerja perangkat keras. Perangkat Lightning Wire Labs yang mengintegrasikan IPFire Kemampuan ini diaktifkan secara otomatis.Sehingga pengguna perangkat tersebut akan melihat peningkatan tanpa perlu banyak mengubah pengaturan.
Dukungan untuk LLDP dan Cisco Discovery Protocol
Core Update 200 secara bawaan menyertakan dukungan untuk Protokol Penemuan Lapisan Tautan (LLDP) dan Protokol Penemuan Cisco versi 2 (CDPv2)Protokol-protokol ini memungkinkan IPFire untuk "mengiklankan" dan menemukan perangkat pada level layer 2 di segmen yang terhubung langsung, yang sangat berguna dalam infrastruktur jaringan yang kompleks.
Berkat LLDP/CDP, firewall dapat mengidentifikasi port switch mana yang terhubung ke perangkat tersebut?Sebaliknya, switch dan alat pemantauan dapat dengan jelas melihat lokasi IPFire pada peta jaringan. Ini terintegrasi dengan mulus dengan platform seperti Observium dan sistem pemetaan dan pemantauan jaringan lainnya, menyederhanakan pengelolaan lingkungan besar dengan banyak VLAN, tautan trunk, dan peralatan yang tersebar.
Fungsi tersebut diaktifkan dan dikonfigurasi dari antarmuka web, di bagian Jaringan → LLDPDi mana Anda dapat memutuskan antarmuka mana yang akan diaktifkan protokolnya, informasi apa yang diiklankan, dan bagaimana data tersebut diintegrasikan dengan konfigurasi jaringan lainnya.
DNS, PPP, dan layanan inti lainnya di IPFire 2.29 Core Update 200
Proxy DNS berbasis Unbound dari IPFire juga telah menerima peningkatan yang signifikan. Alih-alih berjalan dalam mode single-threaded, Unbound kini meluncurkan satu thread per inti CPU.Hal ini memungkinkan Anda untuk memanfaatkan prosesor multi-core yang sangat umum saat ini dan mengurangi waktu respons DNS di bawah beban, yang terlihat jelas di lingkungan dengan banyak klien atau banyak permintaan simultan.
Pada koneksi akses PPP (seperti beberapa jalur DSL, 4G, atau 5G), IPFire menyesuaikan pengiriman paket keep-alive LCP ke Hanya keluarkan saat tidak ada lalu lintas nyata di jalur tersebut.Perubahan kecil ini sedikit mengurangi beban pada koneksi, yang sangat dihargai terutama pada koneksi seluler dengan sumber daya yang lebih terbatas atau batasan data yang ketat.
Detail visual telah diperbaiki pada antarmuka administrasi: Halaman DNS sekarang secara konsisten menampilkan legenda berikut: dari elemen-elemen yang diwakili, menghindari kebingungan saat menafsirkan status server, resolusi, atau mode kerja yang dikonfigurasi.
Proxy web dan keamanan terkini
Komponen proxy HTTP/HTTPS telah menerima perubahan yang berfokus pada keamanan. A mitigasi spesifik terhadap kerentanan CVE-2025-62168 Dalam konfigurasi proxy, perlindungan terhadap pola serangan yang terkait dengan CVE tersebut diperkuat. Dengan cara ini, pengguna proxy transparan atau terautentikasi IPFire mendapatkan manfaat dari langkah-langkah tambahan tanpa harus memodifikasi file konfigurasi secara manual.
A kondisi persaingan dalam proses filter URLDalam keadaan tertentu, saat menyusun basis data penyaringan, proses dapat dihentikan secara tiba-tiba, menyebabkan kegagalan atau inkonsistensi sementara. Dengan perbaikan yang disertakan dalam Core Update 200, penyusunan daftar dilakukan dengan lebih andal, meminimalkan risiko proses penyaringan menjadi tidak berfungsi selama pembaruan.
Antarmuka web dan pengalaman administrasi
Antarmuka web IPFire telah mengalami beberapa peningkatan kegunaan dan perbaikan bug. Masalah pada [nama bagian hilang] telah teratasi. firewall yang mencegah pembuatan grup lokasi baru, sebuah fungsi yang sangat berguna untuk mengelompokkan negara atau wilayah dan menerapkan aturan berdasarkan geolokasi.
Di bagian kerentanan perangkat keras, pesan yang ditampilkan adalah ketika sistem tidak mendukung SMT (Simultaneous Multithreading)Menjelaskan kepada administrator mengapa mitigasi atau status keamanan tertentu muncul dengan cara tertentu. Selain itu, bug pada modul email telah diperbaiki sehingga kredensial dengan karakter khusus tertentu Data tersebut dapat menjadi "rusak" saat disimpan, menyebabkan kesalahan otentikasi dengan server email eksternal.
Pembaruan keamanan: OpenSSL, glibc, dan lainnya
Dalam hal pustaka-pustaka penting, OpenSSL diperbarui menjadi... Versi 3.6.1 dan beberapa kerentanan telah ditambal, termasuk CVE-2025-11187, CVE-2025-15467, CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795, dan CVE-2026-22796. Rangkaian CVE ini memberikan gambaran tentang beban kerja pengerasan kriptografi yang termasuk dalam versi ini.
Pustaka standar glibc juga telah ditambal terhadap beberapa kerentanan yang relevan: CVE-2026-0861, CVE-2026-0915 dan CVE-2025-15281Karena merupakan komponen sentral dari keseluruhan sistem, menjaga agar tetap diperbarui dan diperbaiki sangat penting untuk mengurangi potensi serangan dan memastikan bahwa aplikasi mendapatkan manfaat dari perbaikan terbaru.
Pembaruan besar pada paket dan komponen inti.
Core Update 200 menghadirkan banyak paket yang diperbarui. Di antara yang paling penting adalah: Apache 2.4.66, bash 5.3p9, BIND 9.20.18, coreutils 9.9, cURL 8.18.0, dhcpcd 10.3.0, elinks 0.19.0, glib 2.87.0, GnuPG 2.4.9, GnuTLS 3.8.11 dan banyak pustaka grafis dan sistem lainnya seperti harfbuzz 12.3.0, hwdata 0.403, iana-etc 20251215, intel-microcode 20251111 atau libarchive 3.8.5.
Mereka juga diperbarui. libcap-ng 0.9, libgpg-error 1.58, libidn2 2.3.8, libjpeg 3.1.3, libpcap 1.10.6, libplist 2.7.0, libpng 1.6.53, libtasn1 4.21.0, liburcu 0.15.5, libxcrypt 4.5.1serta alat manajemen volume dan RAID seperti LVM2 2.03.38 dan mdadm 4.5. Versi baru memtest (8.00), meson (1.10.1), newt (0.52.25), ninja (1.13.2), oath-toolkit (2.6.13), OpenVPN (2.6.17), OpenSSL (3.6.1 dalam tumpukan dasar), SQLite (3.51.100), tzdata (2025c), readline (8.3p3), strongSwan (6.0.4), suricata (8.0.3), suricata-reporter (0.6), Rust (1.92.0), Unbound (1.24.2), wireless-regdb (2025.10.07), vim (9.1.2098) dan xz (5.8.2) disertakan.
Sedangkan untuk add-on, semuanya telah diperbarui. alsa 1.2.15.3, ClamAV 1.5.1, dnsdist 2.0.2, fetchmail 6.6.0, gdb 17.1, Git 2.52.0, fort-validator 1.6.7, freeradius 3.2.8, libtpms 0.10.2, opus 1.6.1, postfix 3.10.6, samba 4.23.4, strace 6.18, tmux 3.6a, Tor 0.4.8.21 dan tshark 4.6.3Secara keseluruhan, paket pembaruan ini menyediakan peningkatan keamanan, dukungan untuk protokol baru, kompatibilitas dengan perangkat keras modern, dan perbaikan bug yang tersebar di seluruh tumpukan.
Add-on unggulan: arpwatch, ffmpeg, dan lainnya
Di antara fitur tambahan yang disertakan dengan IPFire, berikut ini yang paling menonjol: arpwatch sebagai add-on baruAlat ini memantau alamat MAC di jaringan dan dapat memberi peringatan jika terjadi perubahan yang mencurigakan (misalnya, ketika alamat IP dikaitkan dengan alamat MAC yang berbeda). Versi yang disertakan memperbaiki masalah pada amplop pengirim dalam email, yang menyebabkan beberapa server email menolak pesan. Sekarang, alamat pengirim yang benar dikirim, dan alamat MAC selalu ditampilkan dengan nol di depan, sehingga meningkatkan keterbacaan laporan.
El paquete ffmpeg telah diperbarui ke versi 8.0 dalam rangkaian plugin. Plugin ini telah dikompilasi ulang dan dihubungkan kembali dengan OpenSSL dan pustaka LAME, memungkinkan pemulihan fungsi streaming dari sumber eksternal menggunakan HTTPS dan pengkodean MP3. Hal ini mempermudah penggunaan IPFire sebagai titik integrasi untuk solusi multimedia yang perlu memutar atau meneruskan konten yang aman.
Aksesori lain yang sedang diperbarui meliputi: dnsdist 2.0.1, fetchmail 6.5.7, hostapd dengan revisi terbaru (f747ae0), libmpdclient 2.23, mpd 0.24.5, mympd 22.1.1, nano 8.7, openvmtools 13.0.5, Samba 4.23.2, shairport-sync 4.3.7, Tor 0.4.8.19, tshark 4.6.1 dan zabbix_agentd 7.0.21 LTSVersi-versi ini memperbaiki bug, menambahkan dukungan untuk fitur-fitur baru, dan menyesuaikan kompatibilitas dengan versi modern dari pustaka dasar.
Dengan semua perubahan ini, IPFire 2.29 Core Update 200 dikonsolidasikan sebagai sebuah Platform firewall yang matang dan aman, siap untuk perangkat keras dan standar generasi berikutnya.Mulai dari WiFi 7 hingga versi kernel terbaru dan komponen kriptografi, IPFire kompatibel dengan berbagai teknologi. Mereka yang sudah mengandalkan IPFire untuk melindungi jaringan rumah atau bisnis akan menemukan peningkatan signifikan dalam kinerja, visibilitas jaringan, dan kemampuan penyaringan pada versi ini, yang didukung oleh komunitas aktif dan siklus pengembangan yang terus menggabungkan peningkatan keamanan dan dukungan secara berkelanjutan.
