pfSense

Screenshot der Software:
pfSense
Softwarebeschreibung:
Version: 2.4.3-p1 Aktualisiert
Upload-Datum: 22 Jun 18
Entwickler: Scott Ullrich
Lizenz: Frei
Popularität: 2697

Rating: 3.8/5 (Total Votes: 9)

pfSense & reg; ist ein frei verteiltes Open-Source BSD-Betriebssystem, das von dem bekannten m0n0wall-Projekt abgeleitet ist, aber mit völlig anderen Zielen wie der Verwendung von Paketfilter und den neuesten FreeBSD-Technologien.

Das Projekt kann sowohl als Router als auch als Firewall verwendet werden. Es enthält ein Paketsystem, das es Systemadministratoren ermöglicht, das Produkt einfach zu erweitern, ohne potenzielle Sicherheitsschwachstellen hinzuzufügen und die Basisverteilung zu erweitern.


Funktionen auf einen Blick

Zu den wichtigsten Funktionen gehören Firewalls auf dem neuesten Stand der Technik, eingehende / ausgehende Lastverteilung, Statustabelle, NAT (Network Address Translation), Hochverfügbarkeit, VPN (Virtual Private Network) mit Unterstützung für IPsec, PPTP und OpenVPN, PPPoE Server, Dynamic DNS, Captive Portal, Reporting und Überwachung.

Es ist ein aktiv entwickeltes Firewall-Betriebssystem, das als gz-Archivierte Live-CD und ISO-Images nur für die Installation, USB-Stick-Installer sowie NanoBSD / Embedded-Medien vertrieben wird. Sowohl die 64-Bit-Hardware (AMD64) als auch die 32-Bit-Hardware (i386) werden zu diesem Zeitpunkt unterstützt.

Während des Startvorgangs stehen mehrere vordefinierte Startoptionen zur Verfügung, z. B. zum Starten des Betriebssystems mit Standardeinstellungen, mit ACPI deaktiviert, mit USB-Geräten, im abgesicherten Modus, im Einzelbenutzermodus und mit ausführlicher Protokollierung Auf eine Shell-Eingabeaufforderung zugreifen oder den Computer neu starten.


Erste Schritte mit pfSense & reg;

Während die Verteilung die Benutzer fragt, ob sie VLANs (Virtual LANs) von Anfang an einrichten wollen, benötigt sie mindestens eine zugewiesene Netzwerkschnittstelle, um zu funktionieren. Dies bedeutet, dass, wenn Sie nicht mindestens eine Schnittstelle eingerichtet haben, pfSense & reg; Won & rsquo; t sogar starten.

Als Firewall für kleine Heimnetzwerke, Universitäten, große Unternehmen oder andere Organisationen, in denen der Schutz tausender Netzwerkgeräte extrem wichtig ist, wird pfSense & reg; wurde seit seiner Gründung von über einer Million Benutzern aus der ganzen Welt heruntergeladen.


Endeffekt

Es ist eines der besten Open-Source-Firewall-Projekte, die entwickelt wurden, um Benutzern alle Funktionen zu bieten, die kommerzielle Firewall-Produkte bieten. Heute pfsense & reg; wird in zahlreichen Hardware-Firewall-Lösungen eingesetzt, darunter Cisco PIX, Cisco ASA, Netgear, Check Point, Juniper, Astaro, Sonicwall oder Watchguard.

pfSense & reg; ist eine eingetragene Marke und Dienstleistungsmarke von Electric Sheep Fencing LLC. Siehe www.electricshefencing.com.

Was ist neu in dieser Version:

  • Sicherheit / Errata
  • Auf OpenSSL 1.0.2m aktualisiert, um CVE-2017-3736 und CVE-2017-3735
  • zu adressieren
  • FreeBSD-SA-17: 10. kldstat
  • FreeBSD-SA-17: 08.ptrace
  • Ein potentieller XSS-Vektor wurde in status_monitoring.php # 8037 pfSense-SA-17_07.packages.asc
  • behoben
  • Ein potentieller XSS-Vektor wurde in diag_dns.php # 7999 pfSense-SA-17_08.webgui.asc
  • behoben
  • Es wurde ein potentieller XSS-Vektor in der index.php über die Parameter der Widget-Sequenz # 8000 pfSense-SA-17_09.webgui.asc
  • behoben
  • Es wurde ein potenzielles XSS im Widgetkey-Parameter von Dashboards mit mehreren Instanzen behoben # 7998 pfSense-SA-17_09.webgui.asc
  • Ein potenzielles Clickjacking-Problem in der CSRF-Fehlerseite
  • wurde behoben
  • Schnittstellen
  • PPP-Schnittstellen mit einem VLAN-Elternteil wurden korrigiert, wenn die neuen VLAN-Namen # 7981
  • verwendet wurden
  • Behobene Probleme mit QinQ-Schnittstellen, die nicht als aktiv angezeigt werden konnten # 7942
  • Eine Panik / Absturz beim Deaktivieren einer LAGG-Schnittstelle # 7940
  • wurde behoben
  • Behobene Probleme mit LAGG-Schnittstellen, die ihre MAC-Adresse # 7928
  • verloren haben
  • Ein Absturz in Radvd auf SG-3100 (ARM) # 8022
  • wurde behoben
  • Ein Problem mit UDP-Paket-Drops auf SG-1000 # 7426
  • wurde behoben
  • Eine Schnittstelle hinzugefügt, um den eingebauten Schalter am SG-3100 zu verwalten
  • Es wurden mehr Zeichen von der Schnittstellenbeschreibung abgeschnitten, um zu vermeiden, dass die Ausgabe der Konsolenmenüausgabe auf einer VGA-Konsole erfolgt
  • Die Handhabung des Parameters VIP uniqueid beim Ändern von VIP-Typen wurde korrigiert.
  • Die Anzeige des PPP-Verbindungsparameterfelds wurde korrigiert, wenn eine übergeordnete VLAN-Schnittstelle ausgewählt wurde # 8098
  • Betriebssystem
  • Behobene Probleme aufgrund eines manuell konfigurierten Dateisystemlayouts mit einem separaten / usr slice # 8065
  • Behobene Probleme beim Aktualisieren von ZFS-Systemen, die ZFS mit einem MBR-Partitionsschema erstellt haben (leer / boot, da Bootpool nicht importiert wird) # 8063
  • Probleme mit BGP-Sitzungen, die MD5-TCP-Signaturen in Routing-Daemon-Paketen verwenden, wurden behoben # 7969
  • Aktualisierter dpinger zu 3.0
  • Erweiterte Optionen und Methoden für die Auswahl des Aktualisierungsrepositorys
  • Die System-Tunables wurden aktualisiert, die dem Betriebssystem mitteilen, dass es keine Daten von Interrupts, Point-to-Point-Interfaces und Ethernet-Geräten abfängt, um den neuen Namen / das neue Format für FreeBSD 11 wiederzugeben
  • Die Regelsatzverarbeitung wurde so geändert, dass sie wiederholt wird, wenn sich ein anderer Prozess gerade in der Mitte eines Updates befindet, anstatt dem Benutzer einen Fehler zu präsentieren
  • Einige UEFI-Boot-Probleme auf verschiedenen Plattformen wurden behoben
  • Zertifikate
  • Korrigiert ungültige Einträge in /etc/ssl/openssl.cnf (betrifft nur die nicht standardmäßige Verwendung von openssl in der cli / shell) # 8059
  • Die LDAP-Authentifizierung wurde korrigiert, wenn der Server eine global vertrauenswürdige Stammzertifizierungsstelle verwendet (neue CA-Auswahl für "Globale Stammzertifizierungsstellenliste") # 8044
  • Behobene Probleme beim Erstellen eines Zertifikats mit einem Platzhalter CN / SAN # 7994
  • Dem Zertifikat-Manager wurde eine Validierung hinzugefügt, um zu verhindern, dass ein Zertifikat ohne Zertifizierungsstelle in das CA-Register # 7885
  • importiert wird
  • IPsec
  • Ein Problem bei der Verwendung von IPsec-CA-Zertifikaten wurde behoben, wenn der Betreff mehrere RDNs des gleichen Typs enthält # 7929
  • Es wurde ein Problem mit der Aktivierung der Unterstützung von IPsec-Mobilclients in übersetzten Sprachen behoben # 8043
  • Behobene Probleme bei der Anzeige / Ausgabe von IPsec-Status, einschließlich mehrerer Einträge (einer nicht verbunden, einer verbunden) # 8003
  • Anzeige von mehreren verbundenen mobilen IPsec-Clients behoben # 7856
  • Korrigierte Anzeige von Child-SA-Einträgen # 7856
  • OpenVPN
  • Es wurde eine Option für OpenVPN-Server hinzugefügt, um "redirect-gateway ipv6" zu verwenden. als Standard-Gateway zum Verbinden von VPN-Clients mit IPv6 ähnlich wie & quot; redirect-gateway def1 & quot; für IPv4. # 8082
  • Die OpenVPN Client Certificate Revocation List-Option # 8088
  • wurde korrigiert
  • Traffic Shaping
  • Es wurde ein Fehler bei der Konfiguration eines Begrenzers über 2 Gb / s (neues Maximum ist 4 Gb / s) # 7979
  • behoben
  • Behobene Probleme mit Bridge-Netzwerkschnittstellen, die ALTQ # 7936 nicht unterstützen
  • Behobene Probleme mit vtnet-Netzwerkschnittstellen, die ALTQ # 7594 nicht unterstützen
  • Ein Problem mit Status & gt; wurde behoben. Warteschlangen zeigen keine Statistiken für VLAN-Schnittstellen an # 8007
  • Es wurde ein Problem behoben, bei dem Warteschlangen für die Verkehrsgestaltung nicht zuließen, dass die Gesamtzahl aller untergeordneten Warteschlangen 100% betrug (# 7786
  • )
  • Ein Problem wurde behoben, bei dem Limiter ungültige Fractional / Non-Integer-Werte von Limiter-Einträgen erhielten oder von RADIUS # 8097
  • an Captive Portal übergeben wurden
  • Regeln / NAT
  • Die Auswahl von IPv6-Gateways beim Erstellen einer neuen Firewall-Regel # 8053
  • wurde korrigiert
  • Behobene Fehler auf der Konfigurationsseite "Port Forward", die auf veraltete / nicht-pffSense-Cookies / Abfragedaten # 8039
  • zurückzuführen sind
  • Feste Einstellung der VLAN-Priorität über Firewall-Regeln # 7973
  • XMLRPC
  • Es wurde ein Problem mit der XMLRPC-Synchronisierung behoben, wenn der Synchronisierungsbenutzer ein Kennwort mit Leerzeichen # 8032
  • hat
  • Behobene XMLRPC-Probleme mit Captive Portal-Gutscheinen # 8079
  • WebGUI
  • Eine Option zum Deaktivieren von HSTS für den GUI-Webserver # 6650
  • hinzugefügt
  • Der GUI-Webdienst wurde so geändert, dass der direkte Download von INC-Dateien # 8005
  • blockiert wird
  • Die Sortierung der Dienste auf dem Dashboard-Widget und der Seite "Services Status" (Service-Status) # 8069
  • wurde korrigiert
  • Ein Eingabeproblem wurde behoben, bei dem statische IPv6-Einträge eine ungültige Eingabe für die Adressfelder # 8024
  • erlaubten
  • Ein JavaScript-Syntaxfehler in Verkehrsdiagrammen wurde behoben, wenn ungültige Daten gefunden wurden (z. B. Benutzer wurde ausgeloggt oder Sitzung wurde gelöscht) # 7990
  • Fehler bei der Probenahme in Traffic Graphs behoben # 7966
  • Ein JavaScript-Fehler bei Status & gt; wurde behoben Überwachung # 7961
  • Ein Anzeigeproblem mit leeren Tabellen in Internet Explorer 11 # 7978
  • wurde behoben
  • Die Konfigurationsverarbeitung wurde so geändert, dass eine Ausnahme anstelle von stirb () verwendet wird, wenn eine beschädigte Konfiguration erkannt wird
  • Filterung zur pfTop-Seite hinzugefügt
  • Eine Option für Pakete hinzugefügt, um dem Benutzer ein Modal anzuzeigen (z. B. Neustart erforderlich, bevor das Paket verwendet werden kann)
  • Dashboard
  • Die Anzeige von verfügbaren Updates im Widget "Installierte Pakete - Dashboard" # 8035
  • wurde korrigiert
  • Ein Schriftartproblem im Widget "Support Dashboard" # 7980
  • wurde behoben
  • Die Formatierung von Festplatten-Slices / Partitionen im Widget "System Information Dashboard" wurde korrigiert.
  • Ein Problem mit dem Bilder-Widget wurde behoben, wenn kein gültiges Bild gespeichert wurde # 7896
  • Pakete
  • Die Anzeige von Paketen, die im Paketmanager # 7946
  • aus dem Repository entfernt wurden, wurde behoben
  • Es wurde ein Problem behoben, bei dem lokal installierte Pakete angezeigt wurden, wenn das Remote-Paket-Repository nicht verfügbar war # 7917
  • Verschiedenes
  • Die Schnittstellenbindung in ntpd wurde korrigiert, so dass es nicht fälschlicherweise alle Schnittstellen abfragt # 8046
  • Es wurde ein Problem behoben, durch das beim Neustart des syslogd-Dienstes sshlockout_pf Prozess-Waisen # 7984
  • erstellt wurden
  • Zusätzliche Unterstützung für den dynamischen DNS-Anbieter ClouDNS # 7823
  • Es wurde ein Problem auf den Seiten des Benutzer- und Gruppenmanagers behoben, wenn Einträge unmittelbar nach dem Löschen eines Eintrags # 7733
  • ausgeführt wurden
  • Der Einrichtungsassistent wurde geändert, sodass die Schnittstellenkonfiguration übersprungen wird, wenn er auf einer AWS EC2-Instanz # 6459
  • ausgeführt wird
  • Ein IGMP-Proxy-Problem mit All-Multicast-Modus auf SG-1000 # 7710
  • wurde behoben

Was ist neu in der Version:

  • Dashboard-Aktualisierungen:
  • Auf dem 2.3.4-RELEASE-Dashboard finden Sie ein paar zusätzliche Informationen: BIOS-Hersteller, Version und Veröffentlichungsdatum - wenn die Firewall diese ermitteln kann - und eine eindeutige Netgate-ID. Die Netgate Unique ID ist einer Seriennummer ähnlich. Sie wird verwendet, um eine Instanz der pfSense-Software für Kunden, die Support-Services erwerben möchten, eindeutig zu identifizieren. Für Hardware, die in unserem Geschäft verkauft wird, erlaubt es uns auch, Einheiten an unsere Herstellungsaufzeichnungen zu binden. Diese ID ist auf allen Plattformen (Bare-Metal, virtuelle Maschinen und gehostete / Cloud-Instanzen wie AWS / Azure) konsistent. Ursprünglich hatten wir die Absicht, die Hardware-Seriennummer oder die vom Betriebssystem generierte UUID zu verwenden, aber wir stellten fest, dass diese unzuverlässig und inkonsistent waren und sich bei der Neuinstallation des Betriebssystems unerwartet ändern konnten.
  • Wie bei der Seriennummer wird diese Kennung nur zu Informationszwecken auf dem Dashboard angezeigt und standardmäßig nicht automatisch übertragen. Zukünftig können Kunden diese Kennung verwenden, wenn sie Support-Informationen von unseren Mitarbeitern oder Systemen anfordern.
  • Wenn Sie die Änderungen in Version 2.3.x noch nicht verstanden haben, sehen Sie sich das Video zu den Features und Highlights an. In früheren Blogposts wurden einige der Änderungen behandelt, z. B. die Leistungsverbesserungen von tryforward und das webGUI-Update.
  • Firewall-GUI-Zertifikate:
  • Benutzer von Chrome 58 und höher und in einigen Fällen Firefox 48 und später haben möglicherweise Probleme beim Zugriff auf die pfSense Web-GUI, wenn sie ein selbstsigniertes Standardzertifikat verwenden, das automatisch von einer Firewall mit der Version 2.3.3-p1 oder vorhin. Dies liegt daran, dass Chrome 58 streng RFC 2818 erzwingt, dass nur übereinstimmende Hostnamen mit SAN-Einträgen und nicht das Feld für den allgemeinen Namen eines Zertifikats angefordert werden. Das selbstsignierte Standardzertifikat füllt das SAN-Feld nicht.
  • Wir haben den Zertifikatscode so korrigiert, dass er RFC 2818 auf benutzerfreundliche Weise korrekt entspricht, indem automatisch der Wert Common Name des Zertifikats als erster SAN-Eintrag hinzugefügt wird.
  • Firewall-Administratoren müssen ein neues Zertifikat zur Verwendung durch die GUI generieren, um das neue Format zu verwenden. Es gibt mehrere Möglichkeiten, ein kompatibles Zertifikat zu generieren, einschließlich:
  • Generiere und aktiviere ein neues GUI-Zertifikat automatisch von der Konsole oder SSH-Shell mit einem unserer Wiedergabeskripts:
  • pfSh.php Wiedergabe generateguicert
  • Verwenden Sie das ACME-Paket, um ein vertrauenswürdiges Zertifikat für die GUI über Let's Encrypt zu generieren, das bereits richtig formatiert ist.
  • Erstellen Sie manuell eine neue selbstsignierte Zertifizierungsstelle (Certificate Authority, CA) und ein von dieser Zertifizierungsstelle signiertes Serverzertifikat, und verwenden Sie diese für die GUI.
  • Aktivieren Sie den lokalen Browser & quot; EnableCommonNameFallbackForLocalAnchors & quot; Option in Chrome 58. Diese Einstellung wird schließlich von Chrome entfernt, so dass dies nur eine vorübergehende Lösung ist.
  • Einige Benutzer erinnern sich, dass dies nicht das erste Mal ist, dass das Standardzertifikatformat aufgrund von Browseränderungen problematisch war. Vor einigen Jahren änderte Firefox die Art und Weise, wie Zertifikatsvertrauensketten berechnet wurden. Dies könnte dazu führen, dass ein Browser beim Versuch, auf mehrere Firewalls zuzugreifen, mit selbstsignierten Zertifikaten, die allgemeine Standarddaten enthielten, die alle dasselbe Zertifikat enthielten, einfrieren oder hängen bleiben konnte. Das zu beheben war mehr eine Herausforderung, aber es führte zu einer viel besseren Endbenutzererfahrung.

Was ist neu in Version 2.3.4:

  • Dashboard-Aktualisierungen:
  • Auf dem 2.3.4-RELEASE-Dashboard finden Sie ein paar zusätzliche Informationen: BIOS-Hersteller, Version und Veröffentlichungsdatum - wenn die Firewall diese ermitteln kann - und eine eindeutige Netgate-ID. Die Netgate Unique ID ist einer Seriennummer ähnlich. Sie wird verwendet, um eine Instanz der pfSense-Software für Kunden, die Support-Services erwerben möchten, eindeutig zu identifizieren. Für Hardware, die in unserem Geschäft verkauft wird, erlaubt es uns auch, Einheiten an unsere Herstellungsaufzeichnungen zu binden. Diese ID ist auf allen Plattformen (Bare-Metal, virtuelle Maschinen und gehostete / Cloud-Instanzen wie AWS / Azure) konsistent. Ursprünglich hatten wir die Absicht, die Hardware-Seriennummer oder die vom Betriebssystem generierte UUID zu verwenden, aber wir stellten fest, dass diese unzuverlässig und inkonsistent waren und sich bei der Neuinstallation des Betriebssystems unerwartet ändern konnten.
  • Wie bei der Seriennummer wird diese Kennung nur zu Informationszwecken auf dem Dashboard angezeigt und standardmäßig nicht automatisch übertragen. Zukünftig können Kunden diese Kennung verwenden, wenn sie Support-Informationen von unseren Mitarbeitern oder Systemen anfordern.
  • Wenn Sie die Änderungen in Version 2.3.x noch nicht verstanden haben, sehen Sie sich das Video zu den Features und Highlights an. In früheren Blogposts wurden einige der Änderungen behandelt, z. B. die Leistungsverbesserungen von tryforward und das webGUI-Update.
  • Firewall-GUI-Zertifikate:
  • Benutzer von Chrome 58 und höher und in einigen Fällen Firefox 48 und später haben möglicherweise Probleme beim Zugriff auf die pfSense Web-GUI, wenn sie ein selbstsigniertes Standardzertifikat verwenden, das automatisch von einer Firewall mit der Version 2.3.3-p1 oder vorhin. Dies liegt daran, dass Chrome 58 streng RFC 2818 erzwingt, dass nur übereinstimmende Hostnamen mit SAN-Einträgen und nicht das Feld für den allgemeinen Namen eines Zertifikats angefordert werden. Das selbstsignierte Standardzertifikat füllt das SAN-Feld nicht.
  • Wir haben den Zertifikatscode so korrigiert, dass er RFC 2818 auf benutzerfreundliche Weise korrekt entspricht, indem automatisch der Wert Common Name des Zertifikats als erster SAN-Eintrag hinzugefügt wird.
  • Firewall-Administratoren müssen ein neues Zertifikat zur Verwendung durch die GUI generieren, um das neue Format zu verwenden. Es gibt mehrere Möglichkeiten, ein kompatibles Zertifikat zu generieren, einschließlich:
  • Generiere und aktiviere ein neues GUI-Zertifikat automatisch von der Konsole oder SSH-Shell mit einem unserer Wiedergabeskripts:
  • pfSh.php Wiedergabe generateguicert
  • Verwenden Sie das ACME-Paket, um ein vertrauenswürdiges Zertifikat für die GUI über Let's Encrypt zu generieren, das bereits richtig formatiert ist.
  • Erstellen Sie manuell eine neue selbstsignierte Zertifizierungsstelle (Certificate Authority, CA) und ein von dieser Zertifizierungsstelle signiertes Serverzertifikat, und verwenden Sie diese für die GUI.
  • Aktivieren Sie den lokalen Browser & quot; EnableCommonNameFallbackForLocalAnchors & quot; Option in Chrome 58. Diese Einstellung wird schließlich von Chrome entfernt, so dass dies nur eine vorübergehende Lösung ist.
  • Einige Benutzer erinnern sich, dass dies nicht das erste Mal ist, dass das Standardzertifikatformat aufgrund von Browseränderungen problematisch war. Vor einigen Jahren änderte Firefox die Art und Weise, wie Zertifikatsvertrauensketten berechnet wurden. Dies könnte dazu führen, dass ein Browser beim Versuch, auf mehrere Firewalls zuzugreifen, mit selbstsignierten Zertifikaten, die allgemeine Standarddaten enthielten, die alle dasselbe Zertifikat enthielten, einfrieren oder hängen bleiben konnte. Das zu beheben war mehr eine Herausforderung, aber es führte zu einer viel besseren Endbenutzererfahrung.

Was ist neu in Version 2.3.3-p1:

  • FreeBSD-SA-16: 26.openssl - Mehrere Sicherheitslücken in OpenSSL. Der einzige wesentliche Einfluss auf pfSense ist OCSP für HAproxy und FreeRADIUS.
  • Mehrere HyperV-bezogene Errata in FreeBSD 10.3, FreeBSD-EN-16: 10 bis 16:16. Einzelheiten finden Sie unter https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
  • Mehrere integrierte Pakete und Bibliotheken wurden aktualisiert, einschließlich:
  • PHP zu 5.6.26
  • libidn bis 1.33
  • curl zu 7.50.3
  • libxml2 bis 2.9.4
  • Codierung für den Parameter 'zone' auf Captive Portal-Seiten hinzugefügt.
  • Ausgabekodierung zu diag_dns.php für Ergebnisse hinzugefügt, die von DNS zurückgegeben wurden. # 6737
  • Es wurde an einem Chrome-Fehler gearbeitet, bei dem Zeichenauszüge mit regulären Ausdrücken innerhalb von Zeichensätzen analysiert wurden. Fixes & quot; Bitte stimmen Sie mit dem angeforderten Format & quot; auf aktuellen Chrome-Versionen. # 6762
  • Behoben DHCPv6 Server Zeitformat Option # 6640
  • Behoben, dass / usr / bin / install bei neuen Installationen fehlt. # 6643
  • Erhöhtes Filterende-Limit für die Protokollierung, so dass die Suche nach ausreichenden Einträgen erfolgt. # 6652
  • Widget "Installierte Pakete" bereinigt und HTML. # 6601
  • Korrigierte Einstellungen für Widgeteinstellungen beim Erstellen neuer Einstellungen. # 6669
  • Verschiedene Tippfehler und Formulierungsfehler wurden behoben.
  • Entfernte nicht mehr existierende Links zur devwiki-Seite. Alles ist jetzt auf https://doc.pfsense.org.
  • Ein Feld zu CA / Cert-Seiten für die Organisationseinheit hinzugefügt, das von einigen externen Zertifizierungsstellen und Benutzern benötigt wird. # 6672
  • Ein redundanter HTTP & quot; Benutzer-Agent & quot; Zeichenfolge in DynDNS-Updates.
  • Die Schriftart für sortierbare Tabellen wurde korrigiert.
  • Eine Überprüfung hinzugefügt, um zu überprüfen, ob eine Schnittstelle in einer Gateway-Gruppe aktiv ist, bevor dynamisches DNS aktualisiert wird.
  • Festgelegter Wortlaut der & quot; Mietverträge ablehnen & quot; Option für eine DHCP-Schnittstelle (es kann nur Adressen, keine Subnetze nehmen.) # 6646
  • Fehlerberichterstattung für SMTP-Einstellungstest wurde korrigiert.
  • Das Speichern von Länder-, Provider- und Planwerten für PPP-Schnittstellen wurde korrigiert.
  • Festprüfung der ungültigen "Gehe zu Zeile" Nummern auf diag_edit.php. # 6704
  • Ein "off-by-one" -Fehler bei "Zeilen zur Anzeige" wurde behoben. auf diag_routes.php. # 6705
  • Die Beschreibung der Filterbox in diag_routes.php wurde korrigiert, um anzuzeigen, dass alle Felder durchsuchbar sind. # 6706
  • Die Beschreibung der Box für die zu bearbeitende Datei in diag_edit.php wurde korrigiert. # 6703
  • Die Beschreibung des Hauptfensters von diag_resetstate.php wurde korrigiert. # 6709
  • Fehlerdialog behoben, wenn eine Box in diag_resetstate.php deaktiviert wurde. # 6710
  • Fixed-Log-Verknüpfung für DHCP6-Bereiche. # 6700
  • Die Schaltfläche zum Löschen des Netzwerks wurde korrigiert, wenn nur eine Zeile in services_unbound_acls.php # 6716
  • vorhanden war
  • Fehlertext in wiederholbaren Zeilen behoben, wenn die letzte Zeile gelöscht wurde. # 6716
  • Behobene dynamische DNS-Domäne für statische Karten-DHCP-Einträge
  • Zusätzliche Kontrolle zum Festlegen der Aktualisierungsdauer des Dashboard-Widgets
  • hinzugefügt
  • Hinzugefügt & quot; -C / dev / null & quot; zu den dnsmasq-Befehlszeilenparametern, um zu vermeiden, dass sie eine falsche Standardkonfiguration aufnimmt, die unsere Optionen außer Kraft setzen würde. # 6730
  • Hinzugefügt & quot; -l & quot; traceroute6, um beim Auflösen von Hops in diag_traceroute.php sowohl IP-Adressen als auch Hostnamen anzuzeigen. # 6715
  • Hinzufügung der Anmerkung zu max. ttl / hop limit im Quellenkommentar auf diag_traceroute.php.
  • Geklärte Sprache in diag_tables.php. # 6713
  • Bereinigt den Text auf diag_sockets.php. # 6708
  • Die Anzeige von VLAN-Schnittstellennamen während der Konsolenzuweisung wurde korrigiert. # 6724
  • Feste Domain-Name-Server-Option, die bei manueller Einstellung zweimal in Pools angezeigt wird.
  • Die Behandlung von DHCP-Optionen in anderen Pools als dem Hauptbereich wurde korrigiert. # 6720
  • Fehlende Hostnamen wurden in einigen Fällen mit dhcpdv6 behoben. # 6589
  • Verbesserte Pidfile-Behandlung für Dhcpleases.
  • Prüfungen hinzugefügt, um den Zugriff auf einen nicht definierten Offset in IPv6.inc.
  • zu verhindern
  • Die Anzeige der Alias-Popup- und Editieroptionen für Quelle und Ziel für die Adresse und den Port bei ausgehenden NAT wurde korrigiert.
  • Die Behandlung der Anzahl der Backup-Konfigurationen wurde korrigiert. # 6771
  • Einige unauffällige PPTP-Referenzen entfernt, die nicht mehr relevant sind.
  • Reparierte entfernte Syslog-Bereiche. Added & quot; Routing & quot ;, & quot; ntpd & quot ;, & quot; ppp & rdquo ;, & ldquor; Resolver & quot ;, festgelegt & rdquo; vpn & quot; um alle VPN-Bereiche (IPsec, OpenVPN, L2TP, PPPoE Server) einzubeziehen. # 6780
  • In einigen Fällen wurden beim Hinzufügen von Zeilen in services_ntpd.php fehlende Kontrollkästchen korrigiert. # 6788
  • Überarbeitete Symbole für den Dienst, die ausgeführt / gestoppt wurden.
  • Der CRL-Verwaltung wurde eine Überprüfung hinzugefügt, um Zertifikate aus der Dropdownliste zu entfernen, die bereits in der CRL enthalten sind, die bearbeitet wird.
  • Feste Regeltrennzeichen verschoben, wenn mehrere Firewall-Regeln gleichzeitig gelöscht werden. # 6801

Was ist neu in Version 2.3.3:

  • FreeBSD-SA-16: 26.openssl - Mehrere Sicherheitslücken in OpenSSL. Der einzige wesentliche Einfluss auf pfSense ist OCSP für HAproxy und FreeRADIUS.
  • Mehrere HyperV-bezogene Errata in FreeBSD 10.3, FreeBSD-EN-16: 10 bis 16:16. Einzelheiten finden Sie unter https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
  • Mehrere integrierte Pakete und Bibliotheken wurden aktualisiert, einschließlich:
  • PHP zu 5.6.26
  • libidn bis 1.33
  • curl zu 7.50.3
  • libxml2 bis 2.9.4
  • Codierung für den Parameter 'zone' auf Captive Portal-Seiten hinzugefügt.
  • Ausgabekodierung zu diag_dns.php für Ergebnisse hinzugefügt, die von DNS zurückgegeben wurden. # 6737
  • Es wurde an einem Chrome-Fehler gearbeitet, bei dem Zeichenauszüge mit regulären Ausdrücken innerhalb von Zeichensätzen analysiert wurden. Behebt das Problem, dass bei neueren Chrome-Versionen "das gewünschte Format gefunden wurde". # 6762
  • Behoben DHCPv6 Server Zeitformat Option # 6640
  • Behoben, dass / usr / bin / install bei neuen Installationen fehlt. # 6643
  • Erhöhtes Filterende-Limit für die Protokollierung, so dass die Suche nach ausreichenden Einträgen erfolgt. # 6652
  • Widget "Installierte Pakete" bereinigt und HTML. # 6601
  • Korrigierte Einstellungen für Widgeteinstellungen beim Erstellen neuer Einstellungen. # 6669
  • Verschiedene Tippfehler und Formulierungsfehler wurden behoben.
  • Entfernte nicht mehr existierende Links zur devwiki-Seite. Alles ist jetzt auf https://doc.pfsense.org.
  • Ein Feld zu CA / Cert-Seiten für die Organisationseinheit hinzugefügt, das von einigen externen Zertifizierungsstellen und Benutzern benötigt wird. # 6672
  • Es wurde eine redundante HTTP-Zeichenfolge "User-Agent" in DynDNS-Updates behoben.
  • Die Schriftart für sortierbare Tabellen wurde korrigiert.
  • Eine Überprüfung hinzugefügt, um zu überprüfen, ob eine Schnittstelle in einer Gateway-Gruppe aktiv ist, bevor dynamisches DNS aktualisiert wird.
  • Der Wortlaut der Option "Ablehnen von Leases von" für eine DHCP-Schnittstelle wurde korrigiert (sie kann nur Adressen und keine Subnetze übernehmen.) # 6646
  • Fehlerberichterstattung für SMTP-Einstellungstest wurde korrigiert.
  • Das Speichern von Länder-, Provider- und Planwerten für PPP-Schnittstellen wurde korrigiert.
  • Die Überprüfung der ungültigen "Gehe zu Zeile" Nummern auf diag_edit.php wurde korrigiert. # 6704
  • Bei "diows to range" in diag_routes.php wurde der Fehler "by one one" behoben. # 6705
  • Die Beschreibung der Filterbox in diag_routes.php wurde korrigiert, um anzuzeigen, dass alle Felder durchsuchbar sind. # 6706
  • Die Beschreibung der Box für die zu bearbeitende Datei in diag_edit.php wurde korrigiert. # 6703
  • Die Beschreibung des Hauptfensters von diag_resetstate.php wurde korrigiert. # 6709
  • Fehlerdialog behoben, wenn eine Box in diag_resetstate.php deaktiviert wurde. # 6710
  • Fixed-Log-Verknüpfung für DHCP6-Bereiche. # 6700
  • Die Schaltfläche zum Löschen des Netzwerks wurde korrigiert, wenn nur eine Zeile in services_unbound_acls.php # 6716
  • vorhanden war
  • Fehlertext in wiederholbaren Zeilen behoben, wenn die letzte Zeile gelöscht wurde. # 6716
  • Behobene dynamische DNS-Domäne für statische Karten-DHCP-Einträge
  • Zusätzliche Kontrolle zum Festlegen der Aktualisierungsdauer des Dashboard-Widgets
  • hinzugefügt
  • "- / dev / null" wurde den dnsmasq-Befehlszeilenparametern hinzugefügt, um zu vermeiden, dass eine falsche Standardkonfiguration übernommen wird, die unsere Optionen außer Kraft setzen würde. # 6730
  • Traceroute6 wurde um "-l" erweitert, um sowohl IP-Adressen als auch Hostnamen beim Auflösen von Hops in diag_traceroute.php anzuzeigen. # 6715
  • Hinzufügung der Anmerkung zu max. ttl / hop limit im Quellenkommentar auf diag_traceroute.php.
  • Geklärte Sprache in diag_tables.php. # 6713
  • Bereinigt den Text auf diag_sockets.php. # 6708
  • Die Anzeige von VLAN-Schnittstellennamen während der Konsolenzuweisung wurde korrigiert. # 6724
  • Feste Domain-Name-Server-Option, die bei manueller Einstellung zweimal in Pools angezeigt wird.
  • Die Behandlung von DHCP-Optionen in anderen Pools als dem Hauptbereich wurde korrigiert. # 6720
  • Fehlende Hostnamen wurden in einigen Fällen mit dhcpdv6 behoben. # 6589
  • Verbesserte Pidfile-Behandlung für Dhcpleases.
  • Prüfungen hinzugefügt, um den Zugriff auf einen nicht definierten Offset in IPv6.inc.
  • zu verhindern

  • Die Anzeige der Popup- und Editieroptionen des Alias ​​für Quelle und Ziel für die Adresse und den Port des ausgehenden NAT wurde korrigiert.
  • Die Behandlung der Anzahl der Backup-Konfigurationen wurde korrigiert. # 6771
  • Einige unauffällige PPTP-Referenzen entfernt, die nicht mehr relevant sind.
  • Reparierte entfernte Syslog-Bereiche. "Routing", "ntpd", "ppp", "resolver", "vpn" wurden hinzugefügt, um alle VPN-Bereiche (IPsec, OpenVPN, L2TP, PPPoE Server) zu integrieren. # 6780
  • In einigen Fällen wurden beim Hinzufügen von Zeilen in services_ntpd.php fehlende Kontrollkästchen korrigiert. # 6788
  • Überarbeitete Symbole für den Dienst, die ausgeführt / gestoppt wurden.
  • Der CRL-Verwaltung wurde eine Überprüfung hinzugefügt, um Zertifikate aus der Dropdownliste zu entfernen, die bereits in der CRL enthalten sind, die bearbeitet wird.
  • Feste Regeltrennzeichen verschoben, wenn mehrere Firewall-Regeln gleichzeitig gelöscht werden. # 6801

Was ist neu in Version 2.3.2-p1:

  • FreeBSD-SA-16: 26.openssl - Mehrere Sicherheitslücken in OpenSSL. Der einzige wesentliche Einfluss auf pfSense ist OCSP für HAproxy und FreeRADIUS.
  • Mehrere HyperV-bezogene Errata in FreeBSD 10.3, FreeBSD-EN-16: 10 bis 16:16. Einzelheiten finden Sie unter https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html.
  • Mehrere integrierte Pakete und Bibliotheken wurden aktualisiert, einschließlich:
  • PHP zu 5.6.26
  • libidn bis 1.33
  • curl zu 7.50.3
  • libxml2 bis 2.9.4
  • Codierung für den Parameter 'zone' auf Captive Portal-Seiten hinzugefügt.
  • Ausgabekodierung zu diag_dns.php für Ergebnisse hinzugefügt, die von DNS zurückgegeben wurden. # 6737
  • Es wurde an einem Chrome-Fehler gearbeitet, bei dem Zeichenauszüge mit regulären Ausdrücken innerhalb von Zeichensätzen analysiert wurden. Behebt das Problem, dass bei neueren Chrome-Versionen "das gewünschte Format gefunden wurde". # 6762
  • Behoben DHCPv6 Server Zeitformat Option # 6640
  • Behoben, dass / usr / bin / install bei neuen Installationen fehlt. # 6643
  • Erhöhtes Filterende-Limit für die Protokollierung, so dass die Suche nach ausreichenden Einträgen erfolgt. # 6652
  • Widget "Installierte Pakete" bereinigt und HTML. # 6601
  • Korrigierte Einstellungen für Widgeteinstellungen beim Erstellen neuer Einstellungen. # 6669
  • Verschiedene Tippfehler und Formulierungsfehler wurden behoben.
  • Entfernte nicht mehr existierende Links zur devwiki-Seite. Alles ist jetzt auf https://doc.pfsense.org.
  • Ein Feld zu CA / Cert-Seiten für die Organisationseinheit hinzugefügt, das von einigen externen Zertifizierungsstellen und Benutzern benötigt wird. # 6672
  • Es wurde eine redundante HTTP-Zeichenfolge "User-Agent" in DynDNS-Updates behoben.
  • Die Schriftart für sortierbare Tabellen wurde korrigiert.
  • Eine Überprüfung hinzugefügt, um zu überprüfen, ob eine Schnittstelle in einer Gateway-Gruppe aktiv ist, bevor dynamisches DNS aktualisiert wird.
  • Der Wortlaut der Option "Ablehnen von Leases von" für eine DHCP-Schnittstelle wurde korrigiert (sie kann nur Adressen und keine Subnetze übernehmen.) # 6646
  • Fehlerberichterstattung für SMTP-Einstellungstest wurde korrigiert.
  • Das Speichern von Länder-, Provider- und Planwerten für PPP-Schnittstellen wurde korrigiert.
  • Die Überprüfung der ungültigen "Gehe zu Zeile" Nummern auf diag_edit.php wurde korrigiert. # 6704
  • Bei "diows to range" in diag_routes.php wurde der Fehler "by one one" behoben. # 6705
  • Die Beschreibung der Filterbox in diag_routes.php wurde korrigiert, um anzuzeigen, dass alle Felder durchsuchbar sind. # 6706
  • Die Beschreibung der Box für die zu bearbeitende Datei in diag_edit.php wurde korrigiert. # 6703
  • Die Beschreibung des Hauptfensters von diag_resetstate.php wurde korrigiert. # 6709
  • Fehlerdialog behoben, wenn eine Box in diag_resetstate.php deaktiviert wurde. # 6710
  • Fixed-Log-Verknüpfung für DHCP6-Bereiche. # 6700
  • Die Schaltfläche zum Löschen des Netzwerks wurde korrigiert, wenn nur eine Zeile in services_unbound_acls.php # 6716
  • vorhanden war
  • Fehlertext in wiederholbaren Zeilen behoben, wenn die letzte Zeile gelöscht wurde. # 6716
  • Behobene dynamische DNS-Domäne für statische Karten-DHCP-Einträge
  • Zusätzliche Kontrolle zum Festlegen der Aktualisierungsdauer des Dashboard-Widgets
  • hinzugefügt
  • "- / dev / null" wurde den dnsmasq-Befehlszeilenparametern hinzugefügt, um zu vermeiden, dass eine falsche Standardkonfiguration übernommen wird, die unsere Optionen außer Kraft setzen würde. # 6730
  • Traceroute6 wurde um "-l" erweitert, um sowohl IP-Adressen als auch Hostnamen beim Auflösen von Hops in diag_traceroute.php anzuzeigen. # 6715
  • Hinzufügung der Anmerkung zu max. ttl / hop limit im Quellenkommentar auf diag_traceroute.php.
  • Geklärte Sprache in diag_tables.php. # 6713
  • Bereinigt den Text auf diag_sockets.php. # 6708
  • Die Anzeige von VLAN-Schnittstellennamen während der Konsolenzuweisung wurde korrigiert. # 6724
  • Feste Domain-Name-Server-Option, die bei manueller Einstellung zweimal in Pools angezeigt wird.
  • Die Behandlung von DHCP-Optionen in anderen Pools als dem Hauptbereich wurde korrigiert. # 6720
  • Fehlende Hostnamen wurden in einigen Fällen mit dhcpdv6 behoben. # 6589
  • Verbesserte Pidfile-Behandlung für Dhcpleases.
  • Prüfungen hinzugefügt, um den Zugriff auf einen nicht definierten Offset in IPv6.inc.
  • zu verhindern

  • Die Anzeige der Popup- und Editieroptionen des Alias ​​für Quelle und Ziel für die Adresse und den Port des ausgehenden NAT wurde korrigiert.
  • Die Behandlung der Anzahl der Backup-Konfigurationen wurde korrigiert. # 6771
  • Einige unauffällige PPTP-Referenzen entfernt, die nicht mehr relevant sind.
  • Reparierte entfernte Syslog-Bereiche. "Routing", "ntpd", "ppp", "resolver", "vpn" wurden hinzugefügt, um alle VPN-Bereiche (IPsec, OpenVPN, L2TP, PPPoE Server) zu integrieren. # 6780
  • In einigen Fällen wurden beim Hinzufügen von Zeilen in services_ntpd.php fehlende Kontrollkästchen korrigiert. # 6788
  • Überarbeitete Symbole für den Dienst, die ausgeführt / gestoppt wurden.
  • Der CRL-Verwaltung wurde eine Überprüfung hinzugefügt, um Zertifikate aus der Dropdownliste zu entfernen, die bereits in der CRL enthalten sind, die bearbeitet wird.
  • Feste Regeltrennzeichen verschoben, wenn mehrere Firewall-Regeln gleichzeitig gelöscht werden. # 6801

Was ist neu in Version 2.3.2:

  • Sichern / Wiederherstellen:
  • Erlauben Sie nicht, Änderungen bei nicht übereinstimmenden Schnittstellen zu übernehmen, nachdem die Neuzuweisung gesichert wurde. # 6613
  • Dashboard:
  • Dashboard verfügt jetzt über benutzerspezifische Konfigurationsoptionen, die im Benutzer-Manager dokumentiert sind. # 6388
  • DHCP-Server:
  • Deaktivierter dhcp-cache-threshold, um einen Fehler in ISC dhcpd 4.3.x zu vermeiden, indem Client-Hostname aus der Leasedatei weggelassen wird, was die Registrierung des dynamischen Hostnamens in einigen Edge-Fällen fehlschlägt. # 6589
  • Beachten Sie, dass der DDNS-Schlüssel HMAC-MD5 sein muss. # 6622
  • DHCP-Relay:
  • Importierter Fix für dhcrelay-Weiterleitungsanforderungen auf der Schnittstelle, auf der sich der Ziel-DHCP-Server befindet. # 6355
  • Dynamisches DNS:
  • Erlaube * für den Hostnamen mit NamEcheap. # 6260
  • Schnittstellen:
  • Fix "kann die angeforderte Adresse nicht zuweisen" beim Booten mit Track6-Schnittstellen. # 6317
  • Entfernen Sie veraltete Linkoptionen von GRE und gif. # 6586, # 6587
  • Befolgen Sie "Ablehnen von Leases von", wenn DHCP "Erweiterte Optionen" aktiviert ist. # 6595
  • Schützen Sie eingeschlossene Trennzeichen in der erweiterten DHCP-Client-Konfiguration, so dass Kommas dort verwendet werden können. # 6548
  • Behebung der Standardroute auf PPPoE-Schnittstellen, die in einigen Edge-Fällen fehlen. # 6495
  • IPsec:
  • strongSwan wurde auf 5.5.0 aktualisiert.
  • Fügen Sie aggressiv in ipsec.conf hinzu, wenn IKE mode auto ausgewählt ist. # 6513
  • Gateway-Überwachung:
  • Behobener "Socket-Name zu groß", wodurch die Gateway-Überwachung bei langen Schnittstellennamen und IPv6-Adressen fehlschlägt. # 6505
  • Limiter:
  • Setzen Sie pipe_slot_limit automatisch auf den maximal konfigurierten qlimit-Wert. # 6553
  • Überwachung:
  • Korrigiert, dass keine Datenperioden als 0 gemeldet werden, die Durchschnittswerte sind verzerrt. # 6334
  • Fix Tooltip zeigt für einige Werte "keine" an. # 6044
  • Fix Speichern einiger Standardkonfigurationsoptionen. # 6402
  • Fixiere X-Achsen-Ticks, die nicht auf die Auflösung für benutzerdefinierte Zeiträume reagieren. # 6464
  • OpenVPN:
  • Synchronisieren Sie nach dem Speichern der OpenVPN-Serverinstanzen erneut die kundenspezifischen Konfigurationen, um sicherzustellen, dass ihre Einstellungen die aktuelle Serverkonfiguration widerspiegeln. # 6139
  • Betriebssystem:
  • Behoben, dass Pf-Fragment-Zustände nicht gelöscht werden, wodurch "PF frag entries limit reached" ausgelöst wird. # 6499
  • Legen Sie den Speicherort der Core-Datei fest, damit sie nicht in / var / run enden und den verfügbaren Speicherplatz nicht ausschöpfen können. # 6510
  • In "Hyper-V" wurde ein Fehler behoben, bei dem "Laufzeit rückwärts ging". # 6446
  • Behoben, dass traceroute6 mit nicht antwortendem Hop-in-Pfad hängen geblieben ist. # 3069
  • Symlink /var/run/dmesg.boot für vm-bhyve hinzugefügt. # 6573
  • Setzen Sie net.isr.dispatch = direkt auf 32-Bit-Systemen mit aktiviertem IPsec, um einen Absturz beim Zugriff auf Dienste auf dem Host selbst über VPN zu verhindern. # 4754
  • Router-Anzeigen:
  • Es wurden Konfigurationsfelder für die minimalen und maximalen Router-Ankündigungsintervalle und die Routerlebensdauer hinzugefügt. # 6533
  • Routing:
  • Feste statische Routen mit lokalem IPv6-Zielrouter, um den Schnittstellenbereich einzuschließen. # 6506
  • Regeln / NAT:
  • Problem mit dem Platzhalter "PPPoE-Clients" in Regeln und NAT behoben, Regelsatzfehler bei Verwendung von Floating-Regeln, die den PPPoE-Server angeben. # 6597
  • Fehler beim Laden des Regelsatzes mit URL-Tabellen-Aliasen behoben, bei dem eine leere Datei angegeben wurde. # 6181
  • Behobener TFTP-Proxy mit xinetd. # 6315
  • Aktualisierung:
  • Behebung von Fehlern bei nanobsd-Upgrades, bei denen DNS-Weiterleitung / Resolver nicht an localhost gebunden war. # 6557
  • Virtuelle IPs:
  • Es wurden Leistungsprobleme mit einer großen Anzahl von virtuellen IPs behoben. # 6515
  • Die Erschöpfung des PHP-Speichers auf der CARP-Statusseite mit großen Statustabellen wurde behoben. # 6364
  • Webinterface:
  • Sortierung der Tabelle für statische DHCP-Zuordnungen hinzugefügt. # 6504
  • Datei-Upload von NTP-Schaltsekunden wurde korrigiert. # 6590
  • IPv4-Unterstützung für diag_dns.php hinzugefügt. # 6561
  • IPv6-Unterstützung wurde hinzugefügt, um das Reverse-Lookup von Logs zu filtern. # 6585
  • Paketsystem - behält Felddaten bei Eingabefehler. # 6577
  • Mehrere Probleme bei der Eingabe von IPv6-Eingaben wurden behoben, die ungültige IPv6-IPs erlaubten. # 6551, # 6552
  • Einige DHCPv6-Leases, die in der GUI-Leases-Anzeige fehlen, wurden behoben. # 6543
  • Fixed-State-Tötung für 'in' -Richtung und Zustände mit übersetzter Zieladresse. # 6530, # 6531
  • Stellen Sie die Eingabevalidierung von Captive-Portal-Zonennamen wieder her, um ungültiges XML zu verhindern. # 6514
  • Die Kalenderdatumsauswahl wurde im Benutzermanager durch eine ersetzt, die in anderen Browsern als Chrome und Opera funktioniert. # 6516
  • Wiederhergestelltes Proxy-Port-Feld für OpenVPN-Client. # 6372
  • Klären Sie die Beschreibung der Ports-Aliase. # 6523
  • Korrektur der Übersetzungsausgabe, bei der gettext eine leere Zeichenfolge übergeben hat. # 6394
  • Feste Geschwindigkeitsauswahl für 9600 in NTP GPS-Konfiguration. # 6416
  • Nur IPv6-IPs auf dem NPT-Bildschirm zulassen. # 6498
  • Hinzufügen von Alias-Importunterstützung für Netzwerke und Ports. # 6582
  • Sortierte Tabellenheader-Wrap-Kuriositäten wurden korrigiert. # 6074
  • Bereinigen Sie den Bereich Netzwerk-Start des DHCP-Server-Bildschirms. # 6050
  • Fix "UNBEKANNTE" Links im Paketmanager. # 6617
  • Beheben Sie das fehlende Bandbreitenfeld für CBQ-Warteschlangen im Traffic Shaper. # 6437
  • UPnP:
  • UPnP-Präsentations-URL und Modellnummer sind jetzt konfigurierbar. # 6002
  • Benutzermanager:
  • Verbieten Administratoren, ihre eigenen Konten im Benutzermanager zu löschen. # 6450
  • Andere:
  • PHP-Shell-Sitzungen hinzugefügt, um den persistenten CARP-Wartungsmodus zu aktivieren und zu deaktivieren. "playback enablecarpmaint" und "playback disablecarpmaint". # 6560
  • Ausgesetzte serielle Konsolenkonfiguration für nanobsd VGA. # 6291

Was ist neu in Version 2.3.1 Update 5:

  • Die wichtigsten Änderungen in dieser Version sind ein Neuschreiben der WebGUI unter Verwendung von Bootstrap, und das zugrundeliegende System, einschließlich des Basissystems und des Kernels, wird vollständig in FreeBSD pkg konvertiert. Die Pkg-Konvertierung ermöglicht es uns, Teile des Systems einzeln zu aktualisieren, anstatt die monolithischen Aktualisierungen der Vergangenheit. Das webGUI-Rewrite bietet PfSense ein neues, ansprechendes Erscheinungsbild und erfordert ein Minimum an Größenanpassung oder Scrollen auf einer Vielzahl von Geräten, von Desktops bis zu Mobiltelefonen.

Was ist neu in Version 2.2.6 / 2.3 Alpha:

  • pfSense-SA-15_09.webgui: Sicherheitsanfälligkeit durch lokale Dateieinbindung in der pfSense WebGUI
  • pfSense-SA-15_10.captiveportal: SQL-Injection-Sicherheitslücke in der Abmeldung des PffSense Captive-Portals
  • pfSense-SA-15_11.webgui: Mehrere XSS- und CSRF-Schwachstellen in der pfSense WebGUI
  • Auf FreeBSD 10.1-RELEASE-p25
  • aktualisiert
  • FreeBSD-SA-15: 26.openssl Mehrere Sicherheitslücken in OpenSSL
  • StrongSwan auf 5.3.5_2
  • aktualisiert
  • Beinhaltet eine Fehlerbehebung für die CVE-2015-8023-Authentifizierungsumgehung im eap-mschapv2-Plugin.

Was ist neu in Version 2.2.5 / 2.3 Alpha:

  • pfSense-SA-15_08.webgui: Mehrere gespeicherte XSS Schwachstellen in der pfSense WebGUI
  • Auf FreeBSD 10.1-RELEASE-p24 aktualisiert:
  • FreeBSD-SA-15: 25.ntp Mehrere Sicherheitslücken in NTP [REVISED]
  • FreeBSD-SA-15: 14.bsdpatch: Aufgrund einer unzureichenden Bereinigung des Eingabe-Patch-Streams ist es möglich, dass eine Patch-Datei bewirkt, dass Patch (1) zusätzlich zu den gewünschten SCCS- oder RCS-Befehlen Befehle ausführt / li>
  • FreeBSD-SA-15: 16.openssh: OpenSSH-Client überprüft DNS-SSHFP-Datensätze nicht korrekt, wenn ein Server ein Zertifikat anbietet. CVE-2014-2653 OpenSSH-Server, die für die Passwortauthentifizierung mit PAM (Standard) konfiguriert sind, würden viele Kennwortversuche zulassen.
  • FreeBSD-SA-15: 18.bsdpatch: Aufgrund der unzureichenden Bereinigung des Eingabe-Patch-Streams ist es möglich, dass eine Patch-Datei bewirkt, dass Patch (1) bestimmte ed (1) -Skripte an das ed (1) weiterleitet. Editor, der Befehle ausführen würde.
  • FreeBSD-SA-15: 20.expat: In der XML_GetBuffer () - Funktion in der expat-Bibliothek wurden mehrere Integer-Überläufe entdeckt.
  • FreeBSD-SA-15: 21.amd64: Wenn der IRET-Befehl im Kernelmodus eine #SS- oder #NP-Ausnahme generiert, aber der Ausnahmebehandler nicht ordnungsgemäß dafür sorgt, dass die richtige GS-Registerbasis für den Kernel neu geladen wird Das Userland-GS-Segment kann im Kontext des Kernel-Ausnahmebehandlers verwendet werden.
  • FreeBSD-SA-15: 22.openssh: Ein Programmierfehler im privilegierten Monitor-Prozess des sshd (8) -Dienstes kann dazu führen, dass der Benutzername eines bereits authentifizierten Benutzers vom unprivilegierten Kindprozess überschrieben wird. Ein Verwendung-nach-Frei-Fehler in dem privilegierten Überwachungsprozess des Diensts sshd (8) kann deterministisch durch die Aktionen eines kompromittierten unprivilegierten untergeordneten Prozesses ausgelöst werden. Ein Verwendung-nach-Frei-Fehler in dem Sitzungs-Multiplex-Code in dem Dienst sshd (8) kann zu einer unbeabsichtigten Beendigung der Verbindung führen.

Was ist neu in Version 2.2.4:

  • pfSense-SA-15_07.webgui: Mehrere gespeicherte XSS-Schwachstellen in der pfSense WebGUI
  • Die vollständige Liste der betroffenen Seiten und Felder ist in der verknüpften SA aufgelistet.
  • FreeBSD-SA-15: 13.tcp: Erschöpfung der Ressourcen aufgrund von Sitzungen, die im Zustand LAST_ACK stecken geblieben sind. Beachten Sie, dass dies nur für Szenarien gilt, in denen Ports, die auf pfSense selbst hören (nicht über NAT, Routing oder Bridging), für nicht vertrauenswürdige Netzwerke geöffnet werden. Dies gilt nicht für die Standardkonfiguration.
  • Hinweis: FreeBSD-SA-15: 13.openssl gilt nicht für pfSense. pfSense enthielt keine anfällige Version von OpenSSL und war daher nicht anfällig.
  • Weitere Fehlerkorrekturen in verschiedenen Fällen während einer unsauberen Abschaltung (Absturz, Stromausfall usw.). # 4523
  • Korrektur von pw in FreeBSD, um Passwd / Gruppenkorruption zu beheben
  • Fehler beim Schreiben von config.xml für die korrekte Verwendung von fsync, um Fälle zu vermeiden, in denen es leer sein könnte. # 4803
  • Die Option & lsquo; sync 'wurde von den Dateisystemen für neue vollständige Installationen und vollständige Upgrades entfernt, sobald die eigentliche Korrektur durchgeführt wurde.
  • SoftUpdates und Journaling (AKA SU + J) wurden von NanoBSD entfernt, sie bleiben auf Vollinstallation. # 4822
  • Der forcesync-Patch für # 2401 gilt immer noch als schädlich für das Dateisystem und wurde nicht verwendet. Daher kann es bei bestimmten langsameren Platten, insbesondere bei CF-Karten und in geringerem Maße bei SD-Karten, zu einer gewissen Langsamkeit mit NanoBSD kommen. Wenn dies ein Problem ist, kann das Dateisystem dauerhaft mit der Option auf Diagnose & gt; NanoBSD. Mit den anderen oben genannten Änderungen ist das Risiko minimal. Wir empfehlen, die betroffenen CF / SD-Medien so schnell wie möglich durch eine neue, schnellere Karte zu ersetzen. # 4822
  • PHP auf 5.5.27 aktualisiert, um CVE-2015-3152 # 4832
  • zu adressieren
  • SSH LoginGraceTime wurde von 2 Minuten auf 30 Sekunden gesenkt, um die Auswirkungen des MaxAuthTries-Bypass-Fehlers zu verringern. Hinweis: Sshlockout sperrt in allen vergangenen, aktuellen und zukünftigen Versionen anstößige IPs. # 4875

Was ist neu in Version 2.2.3:

  • pfSense-SA-15_06.webgui: Mehrere XSS-Schwachstellen in der pfSense WebGUI
  • Die vollständige Liste der betroffenen Seiten und Felder ist groß und alle sind in der verknüpften SA aufgelistet.
  • FreeBSD-SA-15: 10.openssl: Mehrere OpenSSL-Schwachstellen (einschließlich Logjam): CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792 , CVE-2015-4000

Was ist neu in Version 2.2.2:

  • Diese Version enthält zwei risikoarme Sicherheitsupdates:
  • FreeBSD-SA-15: 09.ipv6: Denial-of-Service mit IPv6-Router-Ankündigungen. Wenn ein System den DHCPv6-WAN-Typ verwendet, können Geräte in der gleichen Broadcast-Domäne wie das WAN manipulierte Pakete senden, wodurch das System die IPv6-Internetverbindung verliert.
  • FreeBSD-SA-15: 06.openssl: Mehrere OpenSSL-Schwachstellen. Die meisten sind nicht anwendbar, und die schlimmste Auswirkung ist die Dienstverweigerung.

Was ist neu in Version 2.2.1:

  • Sicherheitsupdates:
  • pfSense-SA-15_02.igmp: Integer-Überlauf im IGMP-Protokoll (FreeBSD-SA-15: 04.igmp)
  • pfSense-SA-15_03.webgui: Mehrere XSS-Schwachstellen in der pfSense WebGUI
  • pfSense-SA-15_04.webgui: Sicherheitslücke beim Löschen von Dateien in der pfSense WebGUI
  • FreeBSD-DE-15: 01.vt: vt (4) stürzt mit falschen ioctl-Parametern ab
  • FreeBSD-DE-15: 02.openssl: Update, um Zuverlässigkeits-Fixes von OpenSSL
  • hinzuzufügen
  • Ein Hinweis zur OpenSSL "FREAK" Schwachstelle:
  • Hat keine Auswirkungen auf die Webserverkonfiguration der Firewall, da keine Exportchiffren aktiviert sind.
  • pfSense 2.2 enthielt bereits OpenSSL 1.0.1k, mit dem die clientseitige Schwachstelle behoben wurde.
  • Wenn Pakete einen Webserver oder eine ähnliche Komponente wie einen Proxy enthalten, ist möglicherweise eine falsche Benutzerkonfiguration betroffen. Weitere Informationen finden Sie in der Paketdokumentation oder im Forum.

Was ist neu in Version 2.2:

  • Diese Version bringt Verbesserungen bei der Leistung und der Hardware-Unterstützung von FreeBSD 10.1 sowie Verbesserungen, die wir hinzugefügt haben, wie AES-GCM mit AES-NI-Beschleunigung, sowie eine Reihe anderer neuer Funktionen und Fehlerbehebungen.
  • Im Moment des Erreichens der Veröffentlichung haben wir 392 Gesamttickets geschlossen (diese Anzahl enthält 55 Features oder Aufgaben), 135 behobene Bugs, die 2.1.5 und frühere Versionen betreffen, behoben weitere 202 Bugs, die in 2.2 eingeführt wurden, durch Vorantreiben der Basis Betriebssystemversion von FreeBSD 8.3 bis 10.1, Ändern der IPsec-Keying-Daemons von racoon auf strongSwan, Upgrade des PHP-Backends auf Version 5.5 und Wechsel von FastCGI zu PHP-FPM, Hinzufügen des Unbound-DNS-Resolvers und vieler kleinerer Änderungen.
  • Diese Version enthält vier wirkungsvolle Sicherheitsupdates:
  • openssl-Update für FreeBSD-SA-15: 01.openssl
  • Mehrere XSS-Schwachstellen in der Weboberfläche. pfSense-SA-15_01
  • OpenVPN-Update für CVE-2014-8104
  • NTP update FreeBSD-SA-14: 31.ntp - obwohl diese Umstände keinen Einfluss auf pfSense haben.

Was ist neu in Version 2.1.4:

  • Sicherheitsupdates:
  • pfSense-SA-14_07.openssl
  • FreeBSD-SA-14: 14.openssl
  • pfSense-SA-14_08.webgui
  • pfSense-SA-14_09.webgui
  • pfSense-SA-14_10.webgui
  • pfSense-SA-14_11.webgui
  • pfSense-SA-14_12.webgui
  • pfSense-SA-14_13.packages
  • Pakete hatten auch ihre eigenen unabhängigen Fixes und müssen aktualisiert werden. Während des Firmware-Updates werden die Pakete ordnungsgemäß neu installiert. Andernfalls deinstallieren Sie die Pakete und installieren Sie sie neu, um sicherzustellen, dass die neueste Version der Binärdateien verwendet wird.
  • Andere Korrekturen:
  • Patch für das Captive Portal-Problem mit dem Problem des "pipeno", das dazu führt, dass in Captive Portal die maximale Anzahl an Anmeldungen erreicht wird. # 3062
  • Entfernen Sie den Text, der für die zulässigen IPs im Captive Portal nicht relevant ist. # 3594
  • Entfernen Sie die Einheiten aus dem Burst, da sie immer in Byte angegeben werden. (Per ipfw (8)).
  • Spalte für den internen Port auf der UPnP-Statusseite hinzufügen.
  • Machen Sie das Abhören von Interface statt IP für UPnP optional.
  • Fix Hervorhebung ausgewählter Regeln. # 3646
  • Fügen Sie guiconfig zu Widgets hinzu, die es nicht enthalten. # 3498
  • / etc / version_kernel und / etc / version_base nicht mehr vorhanden, verwenden Sie stattdessen php_uname, um die Version für die XMLRPC-Prüfung zu erhalten.
  • Korrektur des Tippfehlers. # 3669
  • Löschen Sie alle IP-Aliase, wenn eine Schnittstelle deaktiviert ist. # 3650
  • Ordnen Sie RRD-Archivumbenennungen während des Upgrades ordnungsgemäß zu und quittieren Sie Fehler, wenn sie fehlschlagen.
  • Konvertieren Sie das Protokoll ssl: // in https: // beim Erstellen von HTTP-Headern für XMLRPC.
  • Zeigt deaktivierte Schnittstellen an, wenn sie bereits Teil einer Schnittstellengruppe waren. Dadurch wird vermieden, dass stattdessen eine zufällige Schnittstelle angezeigt wird und der Benutzer sie versehentlich hinzufügen kann. # 3680
  • Die client-config-dir-Anweisung für OpenVPN ist auch nützlich, wenn OpenVPNs internes DHCP beim Bridging verwendet wird, also fügen Sie es auch in diesem Fall hinzu.
  • Verwenden Sie curl anstelle von fetch, um Update-Dateien herunterzuladen. # 3691
  • Escape-Variable vor dem Übergeben an die Shell von stop_service ().
  • Fügen Sie den Parametern, die in der Serviceverwaltung durch _GET kommen, einen gewissen Schutz hinzu.
  • Escape-Argument beim Aufruf von is_process_running, entfernen Sie auch einige unnötige mwexec () -Aufrufe.
  • Lassen Sie den Namen der Schnittstellengruppe nicht größer als 15 Zeichen sein. # 3208
  • Um genauer zu sein, um Mitglieder einer Bridge-Schnittstelle zu finden, sollte es # 3637
  • beheben
  • Verfallen Sie nicht bereits deaktivierte Benutzer, es behebt # 3644
  • Überprüfen Sie das Startzeit- und das Stoppzeitformat in firewall_schedule_edit.php
  • Seien Sie vorsichtiger mit dem Host-Parameter in diag_dns.php und vergewissern Sie sich, dass es bei Call-Shell-Funktionen
  • maskiert ist
  • Escape-Parameter an shell_exec () in diag_smart.php und anderswo
  • übergeben
  • Stellen Sie sicher, dass Variablen in status_rrd_graph_img.php
  • maskiert / bereinigt sind
  • Ersetze Exec-Aufrufe, um rm mit unlink_if_exists () in status_rrd_graph_img.php
  • auszuführen
  • Ersetzen Sie alle `hostname` Aufrufe durch php_uname (& lsquo; n ') in status_rrd_graph_img.php
  • Ersetze alle `date` Aufrufe durch strftime () in status_rrd_graph_img.php
  • Fügen Sie $ _gb hinzu, um möglicherweise den Müll von exec return on status_rrd_graph_img.php
  • zu sammeln
  • Vermeiden Sie das Verzeichnis-Traversal in pkg_edit.php, wenn Sie Paket-XML-Dateien lesen, prüfen Sie auch, ob die Datei existiert, bevor Sie versuchen, sie zu lesen
  • Entfernen Sie id = 0 aus dem miniupnpd-Menü und der Verknüpfung
  • Entfernen. und / von pkg name, um Verzeichnisdurchsuchungen in pkg_mgr_install.php zu vermeiden
  • Korrigiert den Kernspeicherauszug beim Anzeigen des ungültigen Paketprotokolls
  • Vermeiden Sie das Verzeichnis-Traversal auf system_firmware_restorefullbackup.php
  • Generieren Sie die Sitzungs-ID bei einer erfolgreichen Anmeldung neu, um eine Sitzungsfixierung zu vermeiden
  • Schützen Sie rssfeed-Parameter mit htmlspecialchars () in rss.widget.php
  • Schützen Sie den Parameter servicestatusfilter mit htmlspecialchars () in services_status.widget.php
  • Setzen Sie das httponly-Attribut immer auf Cookies
  • Set & lsquo; Deaktivieren Sie die automatische Vervollständigung des webConfigurator-Logins, wie bei neuen Installationen standardmäßig
  • Vereinfachen Sie die Logik und fügen Sie den Benutzereingabeparametern in log.widget.php
  • Schutz hinzu
  • Stellen Sie sicher, dass einzelne Anführungszeichen codiert sind und vermeiden Sie Javascript-Injektion auf exec.php
  • Füge fehlende NAT-Protokolle in firewall_nat_edit.php
  • hinzu
  • Entfernen Sie zusätzliche Daten nach Leerzeichen in DSCP und korrigieren Sie die pf-Regelsyntax. # 3688
  • Fügen Sie nur eine geplante Regel ein, wenn diese genau vor der Endzeit liegt. # 3558

Was ist neu in Version 2.1.1:

  • Die größte Änderung besteht darin, die folgenden Sicherheitsprobleme / CVEs zu schließen:
  • FreeBSD-SA-14: 01.bsnmpd / CVE-2014-1452
  • FreeBSD-SA-14: 02.ntpd / CVE-2013-5211
  • FreeBSD-SA-14: 03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450
  • Darüber hinaus wurden die em / igb / ixgb / ixgbe-Treiber aktualisiert, um Unterstützung für i210- und i354-NICs hinzuzufügen. Einige Intel 10-Gb-Ethernet-NICs werden ebenfalls eine verbesserte Leistung sehen.

Ähnliche Software

Looking Glass
Looking Glass

3 Jun 15

Alpine Linux
Alpine Linux

17 Aug 18

Linux on iPod
Linux on iPod

3 Jun 15

MidnightBSD
MidnightBSD

12 Feb 17

Kommentare zu pfSense

Kommentare nicht gefunden
Kommentar hinzufügen
Schalten Sie auf die Bilder!