Система модульная: кроме базовых функций пакетной фильтрации и управления трафиком для IPFire доступны модули с реализацией системы для предотвращения атак на базе Suricata, для создания файлового сервера (Samba, FTP, NFS), почтового сервера (Cyrus-IMAPd, Postfix, Spamassassin, ClamAV и Openmailadmin) и сервера печати (CUPS), организации VoIP шлюза на базе Asterisk и Teamspeak, создания беспроводной точки доступа, организации потокового аудио и видео-сервера (MPFire, Videolan, Icecast, Gnump3d, VDR). Для установки дополнений в IPFire используется специальный пакетный менеджер Pakfire.
В новом выпуске:
- Добавлена экспериментальная поддержка файловой системы Btrfs.
- Ядро Linux обновлено до версии 6.6.32.
- В сборах для плат Raspberry Pi реализована поддержка изменения частоты CPU в зависимости от нагрузки для снижения энергопотребления или повышения производительности.
- Данные из списка блокировки Spamhaus eDROP (Extended Don’t Route Or Peer) объединены со списком DROP. Списки eDROP и DROP отличались тем, что в DROP размещались диапазоны адресов спамеров и киберпреступников, соответствующие блокам, напрямую выделенным регистраторами, а в eDROP включались подсети, выделенные из основных блоков.
- Удалён список блокировки Alienvault, сопровождение которого было прекращено.
- В системе обнаружения атаки Suricata включён предоставляемый ядром Linux механизм изоляции Landlock для блокирования доступа к ФС в случае эксплуатации уязвимостей в Suricata.
- Добавлен патч, убирающий лишние перезагрузки DNS-сервера Unbound в процессе обработки назначенных через DHCP адресов.
- Обновлены версии программ Apache2 2.4.59, BIND 9.16.49, kmod 32, libhtp 0.5.48, OpenSSL 3.2.2, SQLite 3.45.3, squid 6.9, strongSwan 5.9.14, Suricata 7.0.5.
- Удалён пакет с системой мониторинга Icinga, который основывался на устаревшей ветке 1.x, сопровождение которой было прекращено в 2018 году. Из-за небольшого числа пользователей данного модуля решено не переходить на ветку Icinga 2.x, а удалить пакет.
- Из-за проблем с работоспособностью удалён пакет с утилитой sslh, позволяющей мультиплексировать подключения HTTPS, SSH, OpenVPN, SOCKS5, tinc и XMPP через один сетевой порт 443.
- Обновлены пакеты Bacula 13.0.4, dnsdist 1.9.3, Lynis 3.1.1, mympd 14.1.2 и Tor 0.4.8.11.
Дополнительно можно отметить публикацию нового дистрибутива для создания межсетевых экранов NethSecurity 8, основанного на платформе NethServer 8 и рассчитанного на быстрое развёртывание межсетевого экрана. Помимо фильтрации пакетов предоставляются возможности для определения и предотвращения вторжений, антивирусной проверки, блокировки рекламы, расстановки приоритетов для разных видов трафика, глубокого инспектирования пакетов (DPI) и фильтрации контента (например, можно выборочно заблокировать Netflix, Youtube, Tiktok, Instagram, Faceboook и прочие сервисы, которые могут отвлекать сотрудников от работы). Размер загрузочного образа в сжатом виде 54 МБ.
Возможна работа в конфигурациях, имеющих несколько внешних каналов подключения к интернету (MultiWAN). Поддерживается создание туннелей через IPsec и OpenVPN, а также развёртывание точек беспроводного доступа. Платформа построена как целостное решение, которое можно использовать для установки на физические серверы и виртуальные машины, а также для создания загрузочных USB-носителей, превращающих любой компьютер в межсетевой экран.
Управление всеми поддерживаемыми возможностями осуществляется через web-интерфейс. Среди прочего через web-интерфейс выполняется администрирование системы, включая такие операции как создание/восстановление резервных копий конфигурации, сброс к заводским настройкам и управление установкой обновлений.
При использовании в инфраструктуре серверов на базе дистрибутива NethServer возможно включение централизованного удалённого управления всеми хостами с NethSecurity через интерфейс NethServer, а также мониторинг за работой межсетевых экранов и сбор логов. Среди прочего доступен даже SSH-клиент, работающий через web-интерфейc.
Источник: http://www.opennet.ru/opennews/art.shtml?num=61368