Выпуск дистрибутива для создания межсетевых экранов OPNsense 26.7

Опубликован релиз дистрибутива для создания межсетевых экранов OPNsense 26.7, который в 2015 году отделился от проекта pfSense с целью разработки полностью открытого дистрибутива, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (490 МБ).

Начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense: полностью открытый сборочный инструментарий, поддержка установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживания состояний соединений (stateful firewall на основе pf), система ограничения пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.

На базе дистрибутива могут создаваться отказоустойчивые конфигурации, основанные на использовании протокола CARP и позволяющие запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается web-интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap и Phalcon MVC.

Среди изменений:

  • Осуществлён переход на кодовую базу FreeBSD 15.1 (ранее использовался FreeBSD 14.3).

  • Интерфейсы для настройки правил межсетевых экранов, назначения сетевых интерфейсов (разделение между LAN и WAN) и управления группами шлюзов переведены на использование MVC-фреймворка и теперь дополнительно доступны через Web API для автоматизации управления сетевой конфигурацией.

  • Добавлен мастер для миграции правил трансляции адресов со старого формата конфигурации Outbound NAT на новый формат, использующий архитектуру Source NAT (SNAT).

  • В конфигуратор KEA DHCP добавлена поддержка DDNS (Dynamic) и автоматического выделения префиксов IPv6 (блоков адресов).

  • В Captive portal добавлена поддержка IPv6.
  • Обновлены версии OpenVPN 2.7, PHP 8.5, Python 3.13.

  • Устранена критическая уязвимость (CVE-2026–57155, уровень опасности 9.9 из 10), позволяющая непривилегированному пользователю без доступа к shell и ограниченному работой с алиасами (списки с именами сетей и хостов), выполнить код с правами root. Уязвимость вызвана отсутствием должных проверок при обработке данных из БД GeoIP c привязкой стран к IP-адресам.

    Код страны из БД GeoIP без проверки подставлялся при формировании записываемого имени файла, что позволяло перезаписать любой файл в системе, так как обработчик запускается с правами root. Через Web API непривилегированный пользователь мог указать свой URL для загрузки модифицированной БД GeoIP для алиасов. Для получения прав root в одной из записей в БД вместо кода страны можно указать »…/…/…/…/…/…/…/…/etc/newsyslog.conf.d/zzz_pwn», что приведёт к созданию файла конфигурации для системы ротации логов, в котором могут быть определены команды, запускаемые с правами root.



Источник: http://www.opennet.ru/opennews/art.shtml? num=65915

© OpenNet