<強> pfSense 強>&章;是一個免費分發的開源BSD操作系統,源自眾所周知的m0n0wall項目,但目標完全不同,如使用包過濾器和最新的FreeBSD技術。
該項目可用作路由器和防火牆。它包括一個軟件包系統,允許系統管理員輕鬆擴展產品,而不會增加潛在的安全漏洞並使基礎分發膨脹。
功能一目了然
主要功能包括最先進的防火牆,入站/出站負載平衡,狀態表,NAT(網絡地址轉換),高可用性,支持IPsec,PPTP和OpenVPN的VPN(虛擬專用網絡),PPPoE服務器,動態DNS,強制門戶,報告和監控。
這是一個積極開發的防火牆操作系統,分佈為gz存檔的Live CD和僅安裝的ISO映像,USB棒安裝程序,以及NanoBSD /嵌入式媒體。目前支持64位(amd64)和32位(i386)硬件平台。
在引導過程中可以使用多個預定義的引導選項,例如使用默認設置引導操作系統,禁用ACPI,使用USB設備,在安全模式下,在單用戶模式下,使用詳細日誌記錄,以及訪問shell提示符或重新啟動計算機。
開始使用pfSense&reg;
雖然分發會詢問用戶是否要從一開始就設置VLAN(虛擬LAN),但至少需要一個分配的網絡接口才能運行。這意味著,如果您沒有/設置至少一個界面,pfSense&reg;贏了甚至沒有開始。
用作小型家庭網絡,大學,大型企業或任何其他需要保護數千個網絡設備的組織的防火牆非常重要,pfSense&reg;自成立以來,已被全球超過一百萬用戶下載。
底線
它是最好的開源防火牆項目之一,旨在為用戶提供商業防火牆產品帶來的所有功能。今天,pfSense&reg;用於眾多硬件防火牆解決方案,包括Cisco PIX,Cisco ASA,Netgear,Check Point,Juniper,Astaro,Sonicwall或Watchguard。
pfSense&章;是Electric Sheep Fencing LLC擁有的註冊商標和服務標誌。請參閱www.electricsheepfencing.com。
此版本中的新功能:
- 安全/勘誤
- 已更新至OpenSSL 1.0.2m以解決CVE-2017-3736和CVE-2017-3735
- 的FreeBSD-SA-17:10.kldstat
- 的FreeBSD-SA-17:08.ptrace
- 修復了status_monitoring.php中的潛在XSS向量#8037 pfSense-SA-17_07.packages.asc
- 修復了diag_dns.php中的潛在XSS向量#7999 pfSense-SA-17_08.webgui.asc
- 通過小部件序列參數修復index.php上潛在的XSS向量#8000 pfSense-SA-17_09.webgui.asc
- 修復了多實例儀表板小部件的widgetkey參數中的潛在XSS#7998 pfSense-SA-17_09.webgui.asc
- 修復了CSRF錯誤頁面中潛在的點擊劫持問題
- 接口
- 使用新的VLAN名稱#7981 修復了具有VLAN父級的PPP接口
- 修復了QinQ接口無法顯示為活動狀態#7942 的問題
- 修復了禁用LAGG界面#7940 時發生的恐慌/崩潰問題
- 修復了LAGG接口丟失其MAC地址的問題#7928
- 修復了SG-3100(ARM)上的radvd崩潰#8022
- 修復了SG-1000#7426 上的UDP丟包問題
- 添加了一個界面來管理SG-3100上的內置開關
- 從界面描述中刪除更多字符以避免控制台菜單輸出行包裝在VGA控制台上
- 修改VIP類型時固定處理VIP uniqueid參數
- 當選擇了VLAN父接口時,修復了PPP鏈接參數字段#8098
- 操作系統
- 修復了手動配置的文件系統佈局與單獨的/ usr切片#8065 導致的問題
- 修復了使用MBR分區方案更新ZFS系統創建ZFS的問題(由於未導入bootpool而導致空/引導)#8063
- 修復了路由後台程序包#7969 中使用MD5 TCP簽名的BGP會話問題
- 將dpinger更新為3.0
- 增強了更新存儲庫選擇選項和方法
- 更新了系統可調參數,告知操作系統不從中斷,點對點接口和以太網設備收集數據以反映FreeBSD 11的新名稱/格式
- 更改了規則集處理,以便在其他進程處於更新過程中時重試,而不是向用戶顯示錯誤
- 修復了各種平台上的一些UEFI啟動問題
- 證書
- 修復了/etc/ssl/openssl.cnf中的無效條目(僅影響了cli / shell中openssl的非標準用法)#8059
- 當服務器使用全局受信任的根CA(“全局根CA列表”的新CA選擇)時,修復了LDAP身份驗證#8044
- 修復了使用通配符CN / SAN#7994 創建證書的問題
- 向證書管理器添加了驗證,以防止將非證書頒發機構證書導入CA選項卡#7885
- 的IPsec
- 修復了當主題包含多個相同類型的RDN時使用IPsec CA證書的問題#7929
- 修復了以翻譯語言啟用IPsec移動客戶端支持的問題#8043
- 修復了IPsec狀態顯示/輸出問題,包括多個條目(一個斷開,一個連接)#8003
- 固定顯示多個已連接的移動IPsec客戶端#7856
- 修正了兒童SA條目#7856
- OpenVPN的
- 為OpenVPN服務器添加了一個選項,以便使用“redirect-gateway ipv6”。充當用於將VPN客戶端與IPv6連接的默認網關,類似於“redirect-gateway def1”。對於IPv4。 #8082
- 修復了OpenVPN客戶端證書吊銷列表選項#8088
- 流量整形
- 修復了配置限制器超過2Gb / s時出錯(新增最大值為4Gb / s)#7979
- 修復了不支持ALTQ#7936 的橋接網絡接口問題
- 修復了不支持ALTQ#7594 的vtnet網絡接口問題
- 修復了狀態&gt;的問題隊列無法顯示VLAN接口的統計信息#8007
- 修復了流量整形隊列不允許所有子隊列總數為100%的問題#7786
- 修復了限制器條目的限制器條目無效小數/非整數值或從RADIUS#8097傳遞到強製網絡門戶的限制器問題
- 規則/ NAT
- 修改了創建新防火牆規則時選擇的IPv6網關#8053
- 修復了由陳舊/非pfSense cookie /查詢數據導致的端口轉發配置頁面上的錯誤#8039
- 通過防火牆規則修復設置VLAN優先級#7973
- XMLRPC
- 修復了當同步用戶的密碼包含空格#8032 時XMLRPC同步的問題
- 修正了強制門戶優惠券#8079 的XMLRPC問題
- 的WebGUI
- 為GUI Web服務器添加了禁用HSTS的選項#6650
- 更改了GUI網絡服務,以阻止直接下載.inc文件#8005
- 修復了儀表板小部件和服務狀態頁面上的服務排序#8069
- 修復了輸入問題,其中靜態IPv6條目允許地址字段的無效輸入#8024
- 修復了遇到無效數據時流量圖表中的JavaScript語法錯誤(例如用戶已註銷或會話已清除)#7990
- 修正了流量圖中的採樣錯誤#7966
- 修復了狀態&gt;上的JavaScript錯誤監測#7961
- 修復了Internet Explorer 11#7978 上空表的顯示問題
- 更改配置處理以在檢測到配置已損壞時使用異常而不是die()
- 向pfTop頁面添加了過濾
- 添加了一種方法,用於向用戶顯示模式(例如,在使用包之前需要重新啟動)
- 控制台
- 修復了已安裝包儀表板小部件#8035 上可用更新的顯示
- 修復了支持儀表板小部件#7980 中的字體問題
- 修復了“系統信息儀表板”小組件中磁盤片/分區的格式設置
- 修復了沒有保存有效圖片時圖片窗口小部件的問題#7896
- 包
- 已修復已在程序包管理器#7946 中從存儲庫中刪除的程序包的顯示
- 修復了遠程軟件包存儲庫不可用時顯示本地安裝的軟件包的問題#7917
- 其它
- 修復了ntpd中的接口綁定,因此它不會錯誤地偵聽所有接口#8046
- 解決了重新啟動syslogd服務會使sshlockout_pf進程失敗的問題#7984
- 添加了對ClouDNS動態DNS提供商#7823 的支持
- 修復了在刪除條目#7733 後立即對條目進行操作時用戶和組管理器頁面中的問題
- 更改了設置嚮導,以便在AWS EC2實例上運行時跳過界面配置#6459
- 修復了SG-1000#7710 上具有全組播模式的IGMP代理問題
版本中的新功能:
- 儀表板更新:
- 在2.3.4-RELEASE儀表板上,您可以找到一些額外的信息:BIOS供應商,版本和發布日期 - 如果防火牆可以確定它們 - 以及Netgate唯一ID。 Netgate唯一ID類似於序列號,它用於為想要購買支持服務的客戶唯一標識pfSense軟件的實例。對於我們商店出售的硬件,它還允許我們將單位與我們的製造記錄聯繫起來。此ID在所有平台(裸機,虛擬機和託管/雲實例(如AWS / Azure))中保持一致。我們原本打算使用硬件序列號或操作系統生成的UUID,但我們發現它們不可靠,不一致,並且在重新安裝操作系統時可能會意外更改。
- 與序列號一樣,此標識符僅顯示在儀表板上以供參考,默認情況下不會自動傳輸到任何位置。將來,客戶可以在向我們的員工或系統請求支持信息時使用此標識符。
- 如果您還沒有了解2.3.x中的更改,請查看功能和精彩集錦視頻。過去的博客文章介紹了一些更改,例如tryforward的性能改進以及webGUI更新。
- 防火牆GUI證書:
- Chrome 58及更高版本(在某些情況下,Firefox 48及更高版本)的用戶如果使用運行pfSense版本2.3.3-p1的防火牆自動生成的默認自簽名證書,則可能無法訪問pfSense Web GUI或早。這是因為Chrome 58嚴格執行RFC 2818,它只使用主題備用名稱(SAN)條目而不是證書的公用名稱字段來調用匹配的主機名,並且默認的自簽名證書未填充SAN字段。
- 我們已通過自動添加證書Common Name值作為第一個SAN條目,以用戶友好的方式更正了證書代碼以正確遵循RFC 2818。
- 防火牆管理員需要生成新的證書供GUI使用才能使用新格式。有幾種方法可以生成兼容證書,包括:
- 使用我們的播放腳本之一從控制台或ssh shell自動生成並激活新的GUI證書:
- pfSsh.php回放generateguicert
- 利用ACME包通過Let's Encrypt為GUI生成可信證書,該證書已正確格式化。
- 手動創建新的自簽名證書頒發機構(CA)和由該CA簽名的服務器證書,然後將其用於GUI。
- 激活本地瀏覽器“EnableCommonNameFallbackForLocalAnchors” Chrome 58中的選項。Chrome最終會刪除此設置,因此這只是一個臨時修復。
- 有些用戶可能還記得,這不是第一次由於瀏覽器更改而導致默認證書格式出現問題。幾年前,Firefox改變了計算證書信任鏈的方式,這可能會使瀏覽器在嘗試使用包含常見默認數據的自簽名證書訪問多個防火牆時出現凍結或掛起,從而導致所有此類證書包含相同的主題。修復這是一項挑戰,但它帶來了更好的最終用戶體驗。
版本2.3.4中的新功能:
- 儀表板更新:
- 在2.3.4-RELEASE儀表板上,您可以找到一些額外的信息:BIOS供應商,版本和發布日期 - 如果防火牆可以確定它們 - 以及Netgate唯一ID。 Netgate唯一ID類似於序列號,它用於為想要購買支持服務的客戶唯一標識pfSense軟件的實例。對於我們商店出售的硬件,它還允許我們將單位與我們的製造記錄聯繫起來。此ID在所有平台(裸機,虛擬機和託管/雲實例(如AWS / Azure))中保持一致。我們原本打算使用硬件序列號或操作系統生成的UUID,但我們發現它們不可靠,不一致,並且在重新安裝操作系統時可能會意外更改。
- 與序列號一樣,此標識符僅顯示在儀表板上以供參考,默認情況下不會自動傳輸到任何位置。將來,客戶可以在向我們的員工或系統請求支持信息時使用此標識符。
- 如果您還沒有了解2.3.x中的更改,請查看功能和精彩集錦視頻。過去的博客文章介紹了一些更改,例如tryforward的性能改進以及webGUI更新。
- 防火牆GUI證書:
- Chrome 58及更高版本(在某些情況下,Firefox 48及更高版本)的用戶如果使用運行pfSense版本2.3.3-p1的防火牆自動生成的默認自簽名證書,則可能無法訪問pfSense Web GUI或早。這是因為Chrome 58嚴格執行RFC 2818,它只使用主題備用名稱(SAN)條目而不是證書的公用名稱字段來調用匹配的主機名,並且默認的自簽名證書未填充SAN字段。
- 我們已通過自動添加證書Common Name值作為第一個SAN條目,以用戶友好的方式更正了證書代碼以正確遵循RFC 2818。
- 防火牆管理員需要生成新的證書供GUI使用才能使用新格式。有幾種方法可以生成兼容證書,包括:
- 使用我們的播放腳本之一從控制台或ssh shell自動生成並激活新的GUI證書:
- pfSsh.php回放generateguicert
- 利用ACME包通過Let's Encrypt為GUI生成可信證書,該證書已正確格式化。
- 手動創建新的自簽名證書頒發機構(CA)和由該CA簽名的服務器證書,然後將其用於GUI。
- 激活本地瀏覽器“EnableCommonNameFallbackForLocalAnchors” Chrome 58中的選項。Chrome最終會刪除此設置,因此這只是一個臨時修復。
- 有些用戶可能還記得,這不是第一次由於瀏覽器更改而導致默認證書格式出現問題。幾年前,Firefox改變了計算證書信任鏈的方式,這可能會使瀏覽器在嘗試使用包含常見默認數據的自簽名證書訪問多個防火牆時出現凍結或掛起,從而導致所有此類證書包含相同的主題。修復這是一項挑戰,但它帶來了更好的最終用戶體驗。
版本2.3.3-p1中的新功能:
- FreeBSD-SA-16:26.openssl - OpenSSL中的多個漏洞。對pfSense唯一重要的影響是針對HAproxy和FreeRADIUS的OCSP。
- FreeBSD 10.3中的幾個與HyperV相關的勘誤表,FreeBSD-EN-16:10到16:16。有關詳細信息,請參閱https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html。
- 已更新了幾個內置包和庫,包括:
- PHP到5.6.26
- libidn to 1.33
- 捲曲到7.50.3
- libxml2至2.9.4
- 在Captive Portal頁面上為'zone'參數添加了編碼。
- 為diag_dns.php添加了輸出編碼,用於從DNS返回的結果。 #6737
- 使用正則表達式解析字符集中的轉義字符,處理Chrome錯誤。修復“請匹配請求的格式”在最近的Chrome版本上。 #6762
- 修復了DHCPv6服務器時間格式選項#6640
- 修復了新安裝中缺少的/ usr / bin / install。 #6643
- 增加了日誌記錄的過濾尾限,因此搜索將找到足夠的條目。 #6652
- 清理已安裝的軟件包小部件和HTML。 #6601
- 修復了創建新設置時窗口小部件設置損壞的問題#6669
- 修正了各種拼寫錯誤和措辭錯誤。
- 刪除了devwiki網站的已解散鏈接。一切都在https://doc.pfsense.org上。
- 在OU的CA / Cert頁面中添加了一個字段,這是某些外部CA和用戶所必需的。 #6672
- 修復了冗餘HTTP“用戶代理” DynDNS更新中的字符串。
- 修正了可排序表格的字體。
- 在更新動態DNS之前,添加了一項檢查以驗證網關組中的接口是否處於活動狀態。
- “拒絕租約”的固定措辭DHCP接口的選項(它只能接收地址,而不是子網。)#6646
- 修復了SMTP設置測試的錯誤報告。
- 固定保存PPP接口的國家/地區,提供商和計劃
- 修復了無效“Go To Line”的檢查問題。 diag_edit.php上的數字。 #6704
- 使用“要顯示的行”修復了一個錯誤的錯誤在diag_routes.php上。 #6705
- 修復了diag_routes.php上過濾器框的說明,以反映所有字段都是可搜索的。 #6706
- 修復了diag_edit.php上要編輯的文件框的說明。 #6703
- 修復了diag_resetstate.php主面板的說明。 #6709
- 修復了diag_resetstate.php上未選中框的警告對話框。 #6710
- 修復了DHCP6區域的日誌快捷方式。 #6700
- 修正了網絡刪除按鈕,顯示services_unbound_acls.php上只有一行#6716
- 修復了刪除最後一行時可重複行上的幫助文本消失的問題。 #6716
- 修復了靜態地圖DHCP條目的動態DNS域
- 添加控件以設置儀表板小部件刷新周期
- 添加了“-C / dev / null”到dnsmasq命令行參數,以避免它選擇一個不正確的默認配置,它將覆蓋我們的選項。 #6730
- 添加了“-l”在diag_traceroute.php上解析躍點時,traceroute6顯示IP地址和主機名。 #6715
- 在diag_traceroute.php的源評論中添加了關於max ttl / hop限制的說明。
- 在diag_tables.php上澄清了語言。 #6713
- 清理diag_sockets.php上的文字。 #6708
- 修復了控制台分配期間VLAN接口名稱的顯示。 #6724
- 固定域名服務器選項在手動設置時在池中顯示兩次。
- 修復了主要範圍以外的池中DHCP選項的處理。 #6720
- 使用dhcpdv6修復了某些情況下缺少的主機名。 #6589
- 改進了dhcpleases的pid文件處理。
- 添加了檢查以防止訪問IPv6.inc中的未定義偏移量。
- 修復了出站NAT上地址和端口的源和目標的別名彈出和編輯選項的顯示。
- 修復了備份配置計數的處理。 #6771
- 刪除了一些不再相關的懸空PPTP引用。
- 修復/捕獲遠程syslog區域。添加了“路由”,“ntpd”,“ppp”,“解析器”,“固定”和“vpn”等。包括所有VPN區域(IPsec,OpenVPN,L2TP,PPPoE服務器)。 #6780
- 修復了在services_ntpd.php上添加行時某些情況下丟失的複選框。 #6788
- 修改了服務運行/停止圖標。
- 向CRL管理層添加了一項檢查,以從下拉列表中刪除已包含在正在編輯的CRL中的證書。
- 固定規則分隔符在同時刪除多個防火牆規則時移動。 #6801
版本2.3.3中的新功能:
- FreeBSD-SA-16:26.openssl - OpenSSL中的多個漏洞。對pfSense唯一重要的影響是針對HAproxy和FreeRADIUS的OCSP。
- FreeBSD 10.3中的幾個與HyperV相關的勘誤表,FreeBSD-EN-16:10到16:16。有關詳細信息,請參閱https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html。
- 已更新了幾個內置包和庫,包括:
- PHP到5.6.26
- libidn to 1.33
- 捲曲到7.50.3
- libxml2至2.9.4
- 在Captive Portal頁面上為'zone'參數添加了編碼。
- 為diag_dns.php添加了輸出編碼,用於從DNS返回的結果。 #6737
- 使用正則表達式解析字符集中的轉義字符,處理Chrome錯誤。在最近的Chrome版本上修復了“請匹配所請求的格式”。 #6762
- 修復了DHCPv6服務器時間格式選項#6640
- 修復了新安裝中缺少的/ usr / bin / install。 #6643
- 增加了日誌記錄的過濾尾限,因此搜索將找到足夠的條目。 #6652
- 清理已安裝的軟件包小部件和HTML。 #6601
- 修復了創建新設置時窗口小部件設置損壞的問題#6669
- 修正了各種拼寫錯誤和措辭錯誤。
- 刪除了devwiki網站的已解散鏈接。一切都在https://doc.pfsense.org上。
- 在OU的CA / Cert頁面中添加了一個字段,這是某些外部CA和用戶所必需的。 #6672
- 修復了DynDNS更新中的冗餘HTTP“User-Agent”字符串。
- 修正了可排序表格的字體。
- 在更新動態DNS之前,添加了一項檢查以驗證網關組中的接口是否處於活動狀態。
- 修復了DHCP接口“拒絕租用”選項的措辭(它只能接收地址,而不是子網。)#6646
- 修復了SMTP設置測試的錯誤報告。
- 固定保存PPP接口的國家/地區,提供商和計劃
- 修復了diag_edit.php上無效“Go To Line”號碼的檢查。 #6704
- 修復了diag_routes.php上“顯示行”的一對一錯誤。 #6705
- 修復了diag_routes.php上過濾器框的說明,以反映所有字段都是可搜索的。 #6706
- 修復了diag_edit.php上要編輯的文件框的說明。 #6703
- 修復了diag_resetstate.php主面板的說明。 #6709
- 修復了diag_resetstate.php上未選中框的警告對話框。 #6710
- 修復了DHCP6區域的日誌快捷方式。 #6700
- 修正了網絡刪除按鈕,顯示services_unbound_acls.php上只有一行#6716
- 修復了刪除最後一行時可重複行上的幫助文本消失的問題。 #6716
- 修復了靜態地圖DHCP條目的動態DNS域
- 添加控件以設置儀表板小部件刷新周期
- 在dnsmasq命令行參數中添加了“-C / dev / null”,以避免它選擇覆蓋我們選項的錯誤默認配置。 #6730
- 在diag_traceroute.php上解析躍點時,在traceroute6中添加“-l”以顯示IP地址和主機名。 #6715
- 在diag_traceroute.php的源評論中添加了關於max ttl / hop限制的說明。
- 在diag_tables.php上澄清了語言。 #6713
- 清理diag_sockets.php上的文字。 #6708
- 修復了控制台分配期間VLAN接口名稱的顯示。 #6724
- 固定域名服務器選項在手動設置時在池中顯示兩次。
- 修復了主要範圍以外的池中DHCP選項的處理。 #6720
- 使用dhcpdv6修復了某些情況下缺少的主機名。 #6589
- 改進了dhcpleases的pid文件處理。
- 添加了檢查以防止訪問IPv6.inc中的未定義偏移量。
- 修復了出站NAT上地址和端口的源和目標的別名彈出和編輯選項的顯示。
- 修復了備份配置計數的處理。 #6771
- 刪除了一些不再相關的懸空PPTP引用。
- 修復/捕獲遠程syslog區域。添加了“路由”,“ntpd”,“ppp”,“解析器”,修復了“vpn”以包括所有VPN區域(IPsec,OpenVPN,L2TP,PPPoE服務器)。 #6780
- 修復了在services_ntpd.php上添加行時某些情況下丟失的複選框。 #6788
- 修改了服務運行/停止圖標。
- 向CRL管理層添加了一項檢查,以從下拉列表中刪除已包含在正在編輯的CRL中的證書。
- 固定規則分隔符在同時刪除多個防火牆規則時移動。 #6801
版本2.3.2-p1中的新功能:
- FreeBSD-SA-16:26.openssl - OpenSSL中的多個漏洞。對pfSense唯一重要的影響是針對HAproxy和FreeRADIUS的OCSP。
- FreeBSD 10.3中的幾個與HyperV相關的勘誤表,FreeBSD-EN-16:10到16:16。有關詳細信息,請參閱https://www.freebsd.org/relnotes/10-STABLE/errata/errata.html。
- 已更新了幾個內置包和庫,包括:
- PHP到5.6.26
- libidn to 1.33
- 捲曲到7.50.3
- libxml2至2.9.4
- 在Captive Portal頁面上為'zone'參數添加了編碼。
- 為diag_dns.php添加了輸出編碼,用於從DNS返回的結果。 #6737
- 使用正則表達式解析字符集中的轉義字符,處理Chrome錯誤。在最近的Chrome版本上修復了“請匹配所請求的格式”。 #6762
- 修復了DHCPv6服務器時間格式選項#6640
- 修復了新安裝中缺少的/ usr / bin / install。 #6643
- 增加了日誌記錄的過濾尾限,因此搜索將找到足夠的條目。 #6652
- 清理已安裝的軟件包小部件和HTML。 #6601
- 修復了創建新設置時窗口小部件設置損壞的問題#6669
- 修正了各種拼寫錯誤和措辭錯誤。
- 刪除了devwiki網站的已解散鏈接。一切都在https://doc.pfsense.org上。
- 在OU的CA / Cert頁面中添加了一個字段,這是某些外部CA和用戶所必需的。 #6672
- 修復了DynDNS更新中的冗餘HTTP“User-Agent”字符串。
- 修正了可排序表格的字體。
- 在更新動態DNS之前,添加了一項檢查以驗證網關組中的接口是否處於活動狀態。
- 修復了DHCP接口“拒絕租用”選項的措辭(它只能接收地址,而不是子網。)#6646
- 修復了SMTP設置測試的錯誤報告。
- 固定保存PPP接口的國家/地區,提供商和計劃
- 修復了diag_edit.php上無效“Go To Line”號碼的檢查。 #6704
- 修復了diag_routes.php上“顯示行”的一對一錯誤。 #6705
- 修復了diag_routes.php上過濾器框的說明,以反映所有字段都是可搜索的。 #6706
- 修復了diag_edit.php上要編輯的文件框的說明。 #6703
- 修復了diag_resetstate.php主面板的說明。 #6709
- 修復了diag_resetstate.php上未選中框的警告對話框。 #6710
- 修復了DHCP6區域的日誌快捷方式。 #6700
- 修正了網絡刪除按鈕,顯示services_unbound_acls.php上只有一行#6716
- 修復了刪除最後一行時可重複行上的幫助文本消失的問題。 #6716
- 修復了靜態地圖DHCP條目的動態DNS域
- 添加控件以設置儀表板小部件刷新周期
- 在dnsmasq命令行參數中添加了“-C / dev / null”,以避免它選擇覆蓋我們選項的錯誤默認配置。 #6730
- 在diag_traceroute.php上解析躍點時,在traceroute6中添加“-l”以顯示IP地址和主機名。 #6715
- 在diag_traceroute.php的源評論中添加了關於max ttl / hop限制的說明。
- 在diag_tables.php上澄清了語言。 #6713
- 清理diag_sockets.php上的文字。 #6708
- 修復了控制台分配期間VLAN接口名稱的顯示。 #6724
- 固定域名服務器選項在手動設置時在池中顯示兩次。
- 修復了主要範圍以外的池中DHCP選項的處理。 #6720
- 使用dhcpdv6修復了某些情況下缺少的主機名。 #6589
- 改進了dhcpleases的pid文件處理。
- 添加了檢查以防止訪問IPv6.inc中的未定義偏移量。
- 修復了出站NAT上地址和端口的源和目標的別名彈出和編輯選項的顯示。
- 修復了備份配置計數的處理。 #6771
- 刪除了一些不再相關的懸空PPTP引用。
- 修復/捕獲遠程syslog區域。添加了“路由”,“ntpd”,“ppp”,“解析器”,修復了“vpn”以包括所有VPN區域(IPsec,OpenVPN,L2TP,PPPoE服務器)。 #6780
- 修復了在services_ntpd.php上添加行時某些情況下丟失的複選框。 #6788
- 修改了服務運行/停止圖標。
- 向CRL管理層添加了一項檢查,以從下拉列表中刪除已包含在正在編輯的CRL中的證書。
- 固定規則分隔符在同時刪除多個防火牆規則時移動。 #6801
版本2.3.2中的新功能:
- 備份/恢復:
- 在保存重新分配之前,不允許在配置後不匹配時應用更改。 #6613
- 控制板:
- 儀表板現在具有用戶管理器中記錄的每用戶配置選項。 #6388
- DHCP服務器:
- 禁用dhcp-cache-threshold以避免ISC dhcpd 4.3.x中的錯誤從leases文件中省略client-hostname,這使得動態主機名註冊在某些邊緣情況下失敗。 #6589
- 請注意,DDNS密鑰必須是HMAC-MD5。 #6622
- DHCP Relay:
- 在目標DHCP服務器所在的接口上為dhcrelay中繼請求導入的修復程序。 #6355
- 動態DNS:
- 使用Namecheap允許*用於主機名。 #6260
- 接口:
- 使用track6接口在引導期間修復“無法分配請求的地址”。 #6317
- 從GRE和gif中刪除已棄用的鏈接選項。 #6586,#6587
- 當選中DHCP“高級選項”時,請服從“拒絕租約”。 #6595
- 在DHCP客戶端高級配置中保護封閉分隔符,因此可以在那裡使用逗號。 #6548
- 修復某些邊緣情況下缺少PPPoE接口的默認路由。 #6495
- 的IPsec:
- strongSwan升級到5.5.0。
- 在ipsec.conf中包含agactive,其中選擇了IKE模式auto。 #6513
- 網關監控:
- 修復了“套接字名稱太大”,導致網關監控在長接口名稱和IPv6地址上失敗。 #6505
- 限制器:
- 自動將pipe_slot_limit設置為最大配置的qlimit值。 #6553
- 監測:
- 修正了沒有數據周期報告為0,偏差平均值。 #6334
- 修復某些值顯示為“無”的工具提示。 #6044
- 修復了一些默認配置選項的保存問題。 #6402
- 修復X軸刻度不響應自定義時間段的分辨率。 #6464
- OpenVPN的:
- 保存OpenVPN服務器實例後重新同步客戶端特定配置,以確保其設置反映當前服務器配置。 #6139
- 操作系統:
- 修復了未清除的pf片段狀態,觸發“達到PF frag條目限制”。 #6499
- 設置核心文件位置,使它們無法在/ var / run中結束並耗盡其可用空間。 #6510
- 修復了Hyper-V中的“運行時倒退”日誌垃圾郵件。 #6446
- 修復了traceroute6掛起路徑中沒有響應的躍點。 #3069
- 為vm-bhyve添加了符號鏈接/var/run/dmesg.boot。 #6573
- 在啟用了IPsec的32位系統上設置net.isr.dispatch = direct,以防止在通過VPN訪問主機本身的服務時發生崩潰。 #4754
- 路由器廣告:
- 添加了最小和最大路由器通告間隔和路由器生存期的配置字段。 #6533
- 路由:
- 使用IPv6鏈路本地目標路由器修復靜態路由以包含接口範圍。 #6506
- 規則/ NAT:
- 修復了規則和NAT中的“PPPoE客戶端”佔位符,以及使用指定PPPoE服務器的浮動規則時的規則集錯誤。 #6597
- 修復了無法加載帶有URL表別名的規則集,其中指定了空文件。 #6181
- 使用xinetd修復了TFTP代理。 #6315
- 升級:
- 修復了無法綁定到localhost的DNS轉發器/解析器的nanobsd升級失敗。 #6557
- 虛擬IP:
- 修復了大量虛擬IP的性能問題。 #6515
- 修復了具有大型狀態表的CARP狀態頁面上的PHP內存耗盡。 #6364
- 網絡界面:
- 添加了對DHCP靜態映射表的排序。 #6504
- 修復了NTP閏秒的文件上傳。 #6590
- 為diag_dns.php添加了IPv6支持。 #6561
- 添加了IPv6支持以過濾日誌反向查找。 #6585
- 包裝系統 - 保留輸入錯誤的字段數據。 #6577
- 修復了允許無效IPv6 IP的多個IPv6輸入驗證問題。 #6551,#6552
- 修復了GUI租約顯示中缺少的一些DHCPv6租約。 #6543
- 修復了'in'方向的狀態查殺和已翻譯目標的狀態。 #6530,#6531
- 恢復強制門戶區域名稱的輸入驗證以防止無效的XML。 #6514
- 將用戶管理器中的日曆日期選擇器替換為適用於Chrome和Opera以外的瀏覽器的日曆日期選擇器。 #6516
- 將代理端口字段恢復到OpenVPN客戶端。 #6372
- 澄清端口別名的描述。 #6523
- 修復了gettext傳遞空字符串的翻譯輸出。 #6394
- NTP GPS配置中9600的固定速度選擇。 #6416
- 僅在NPT屏幕上允許IPv6 IP。 #6498
- 為網絡和端口添加別名導入支持。 #6582
- 修復了可排序表格標題包裝奇數。 #6074
- 清除DHCP服務器屏幕的網絡引導部分。 #6050
- 修復包管理器中的“UNKNOWN”鏈接。 #6617
- 修復流量整形器CBQ隊列的丟失帶寬字段。 #6437
- 的UPnP:
- 現在可以配置UPnP演示文稿URL和型號。 #6002
- 用戶經理:
- 禁止管理員在用戶管理器中刪除自己的帳戶。 #6450
- 其他:
- 添加了PHP shell會話以啟用和禁用持久性CARP維護模式。 “playback enablecarpmaint”和“playback disablecarpmaint”。 #6560
- 用於nanobsd VGA的裸露串行控制台配置。 #6291
版本2.3.1更新5中的
新功能:
- 此版本中最重要的變化是使用Bootstrap重寫webGUI,底層系統(包括基本系統和內核)完全轉換為FreeBSD pkg。 pkg轉換使我們能夠單獨更新系統的各個部分,而不是過去的整體更新。 webGUI重寫為pfSense帶來了新的響應式外觀和感覺,要求從台式機到手機的各種設備上進行最小尺寸調整或滾動。
版本2.2.6 / 2.3 Alpha中的
新功能:
- pfSense-SA-15_09.webgui:pfSense WebGUI中的本地文件包含漏洞
- pfSense-SA-15_10.captiveportal:pfSense強製網絡門戶註銷中的SQL注入漏洞
- pfSense-SA-15_11.webgui:pfSense WebGUI中的多個XSS和CSRF漏洞
- 已更新至FreeBSD 10.1-RELEASE-p25
- FreeBSD-SA-15:26.openssl OpenSSL中的多個漏洞
- 將strongSwan更新為5.3.5_2
- 包含eap-mschapv2插件中CVE-2015-8023身份驗證繞過漏洞的修復程序。
版本2.2.5 / 2.3 Alpha中的
新功能:
- pfSense-SA-15_08.webgui:pfSense WebGUI中存在多個存儲的XSS漏洞
- 已更新至FreeBSD 10.1-RELEASE-p24:
- FreeBSD-SA-15:25.ntp NTP中的多個漏洞[已修訂]
- FreeBSD-SA-15:14.bsdpatch:由於輸入補丁流的清理不足,補丁文件可能導致patch(1)除了執行所需的SCCS或RCS命令外還運行命令。 / LI>
- FreeBSD-SA-15:16.openssh:當服務器提供證書時,OpenSSH客戶端無法正確驗證DNS SSHFP記錄。 CVE-2014-2653配置為允許使用PAM進行密碼驗證的OpenSSH服務器(默認)允許多次密碼嘗試。
- FreeBSD-SA-15:18.bsdpatch:由於輸入補丁流的清理不足,補丁文件可能導致補丁(1)將某些ed(1)腳本傳遞給ed(1)編輯器,它將運行命令。
- FreeBSD-SA-15:20.expat:在expat庫的XML_GetBuffer()函數中發現了多個整數溢出。
- FreeBSD-SA-15:21.amd64:如果內核模式IRET指令生成#SS或#NP異常,但異常處理程序沒有正確確保重新加載內核的正確GS寄存器庫,userland GS段可以在內核異常處理程序的上下文中使用。
- FreeBSD-SA-15:22.openssh:sshd(8)服務的特權監視器進程中的編程錯誤可能允許已經過身份驗證的用戶的用戶名被非特權子進程覆蓋。 sshd(8)服務的特權監視器進程中的釋放後使用錯誤可以由受損的非特權子進程的動作確定性地觸發。 sshd(8)服務中的會話多路復用代碼中的釋放後使用錯誤可能導致意外終止連接。
版本2.2.4中的新功能:
- pfSense-SA-15_07.webgui:pfSense WebGUI中存在多個存儲的XSS漏洞
- 受影響的網頁和字段的完整列表列在鏈接的SA中。
- FreeBSD-SA-15:13.tcp:由於會話陷入LAST_ACK狀態而導致資源耗盡。請注意,這僅適用於在不受信任的網絡上打開偵聽pfSense本身(不是通過NAT,路由或橋接傳遞的內容)的端口的情況。這不適用於默認配置。
- 注意:FreeBSD-SA-15:13.openssl不適用於pfSense。 pfSense沒有包含易受攻擊的OpenSSL版本,因此不容易受到攻擊。
- 在不干淨關閉(崩潰,斷電等)期間的各種情況下進一步修復文件損壞。 #4523
- 修復了FreeBSD中解決passwd / group corruption 的問題
- 修復了config.xml編寫以正確使用fsync以避免可能最終為空的情況。 #4803
- 從文件系統中刪除了&lsquo; sync'選項,以便進行新的完整安裝和全面升級,現在已經有了真正的修復程序。
- 從NanoBSD刪除了softupdates和日記(AKA SU + J),它們仍然是完整安裝。 #4822
- #2401的forceync補丁仍然被視為對文件系統有害,並且已被禁止。因此,NanoBSD在某些較慢的磁盤上可能會有一些明顯的緩慢,尤其是CF卡,在較小程度上,SD卡。如果這是一個問題,可以使用Diagnostics&gt;上的選項永久保持文件系統的讀寫。 NanoBSD中使用。隨著上述其他變化,風險很小。我們建議盡快用新的更快的卡更換受影響的CF / SD媒體。 #4822
- 將PHP升級至5.5.27以解決CVE-2015-3152#4832
- 將SSH LoginGraceTime降低2分鐘到30秒,以減輕MaxAuthTries繞過bug的影響。注意Sshlockout將鎖定所有過去,當前和未來版本中的違規IP。 #4875
2.2.3版中的
新功能:
- pfSense-SA-15_06.webgui:pfSense WebGUI中的多個XSS漏洞
- 受影響的網頁和字段的完整列表很大,並且都列在鏈接的SA中。
- FreeBSD-SA-15:10.openssl:多個OpenSSL漏洞(包括Logjam):CVE-2015-1788,CVE-2015-1789,CVE-2015-1790,CVE-2015-1791,CVE-2015-1792 ,CVE-2015-4000
2.2.2版中的
新功能:
- 此版本包含兩個低風險的安全更新:
- FreeBSD-SA-15:09.ipv6:使用IPv6路由器廣告拒絕服務。如果系統使用DHCPv6 WAN類型,則與該WAN相同的廣播域上的設備可以發送精心設計的數據包,從而導致系統丟失IPv6 Internet連接。
- FreeBSD-SA-15:06.openssl:多個OpenSSL漏洞。大多數都不適用,最嚴重的影響是拒絕服務。
版本2.2.1中的新功能:
- 安全修復程序:
- pfSense-SA-15_02.igmp:IGMP協議中的整數溢出(FreeBSD-SA-15:04.igmp)
- pfSense-SA-15_03.webgui:pfSense WebGUI中的多個XSS漏洞
- pfSense-SA-15_04.webgui:pfSense WebGUI中的任意文件刪除漏洞
- FreeBSD-EN-15:01.vt:vt(4)使用不正確的ioctl參數崩潰
- FreeBSD-EN-15:02.openssl:更新以包含OpenSSL的可靠性修復
- 關於OpenSSL“FREAK”漏洞的說明:
- 不影響防火牆上的Web服務器配置,因為它沒有啟用導出密碼。
- pfSense 2.2已經包含了解決客戶端漏洞的OpenSSL 1.0.1k。
- 如果軟件包包含Web服務器或類似組件(如代理),則可能會影響不正確的用戶配置。有關詳細信息,請參閱包文檔或論壇。
2.2版中的
新功能:
- 此版本改進了FreeBSD 10.1基礎的性能和硬件支持,以及我們添加的增強功能,如AES-NIM加速AES-GCM,以及其他一些新功能和錯誤修復。
- 在達到發布的過程中,我們已經關閉了392張總票數(這個數字包括55個功能或任務),修復了影響2.1.5及之前版本的135個錯誤,通過推進基礎修復了2.2中引入的另外202個錯誤操作系統版本從FreeBSD 8.3到10.1,將IPsec密鑰守護進程從racoon更改為strongSwan,將PHP後端升級到版本5.5並將其從FastCGI切換到PHP-FPM,添加未綁定DNS解析器以及許多較小的更改。
- 此版本包含四個影響較小的安全修復程序:
- FreeBSD-SA-15的openssl更新:01.openssl
- Web界面中存在多個XSS漏洞。 pfSense-SA-15_01
- CVE-2014-8104的OpenVPN更新
- NTP更新FreeBSD-SA-14:31.ntp - 雖然這些情況似乎不會影響pfSense。
版本2.1.4中的新功能:
- 安全修復程序:
- pfSense-SA-14_07.openssl
- 的FreeBSD-SA-14:14.openssl
- pfSense-SA-14_08.webgui
- pfSense-SA-14_09.webgui
- pfSense-SA-14_10.webgui
- pfSense-SA-14_11.webgui
- pfSense-SA-14_12.webgui
- pfSense-SA-14_13.packages
- 包也有自己獨立的修復程序,需要更新。在固件更新過程中,將正確地重新安裝軟件包。否則,請卸載然後重新安裝軟件包以確保正在使用最新版本的二進製文件。
- 其他修正:
- 修補Captive Portal pipeno洩漏問題,導致強制門戶網站上的“達到最大登錄次數”。 #3062
- 刪除與強製網絡門戶上的允許IP無關的文本。 #3594
- 從突發中刪除單位,因為它始終以字節為單位指定。 (Per ipfw(8))。
- 在UPnP狀態頁面上添加內部端口列。
- 在UPnP上進行界面偵聽而不是IP可選。
- 修復所選規則的突出顯示。 #3646
- 將guiconfig添加到不包含它的小部件中。 #3498
- / etc / version_kernel和/ etc / version_base不再存在,請使用php_uname來獲取XMLRPC檢查的版本。
- 修復變量拼寫錯誤。 #3669
- 禁用接口時刪除所有IP別名。 #3650
- 在升級期間正確處理RRD存檔重命名,如果失敗則會出現靜噪錯誤。
- 在為XMLRPC創建HTTP標頭時將協議ssl://轉換為https://。
- 當已經禁用的接口已經是接口組的一部分時顯示它們。這樣可以避免顯示隨機界面,並讓用戶錯誤地添加它。 #3680
- OpenVPN的client-config-dir指令在橋接時使用OpenVPN的內部DHCP時也很有用,所以在這種情況下也要添加它。
- 使用curl而不是fetch來下載更新文件。 #3691
- 在從stop_service()傳遞給shell之前轉義變量。
- 為服務管理中通過_GET傳遞的參數添加一些保護。
- 調用is_process_running時轉義參數,同時刪除一些不必要的mwexec()調用。
- 不允許接口組名稱大於15個字符。 #3208
- 要更精確地匹配橋接接口的成員,它應該修復#3637
- 不要使已經停用的用戶失效,它會修復#3644
- 在firewall_schedule_edit.php上驗證starttime和stoptime格式
- 在diag_dns.php上更加小心主機參數,並確保在調用shell函數時將其轉義
- 轉義參數傳遞給diag_smart.php和其他地方的 中的shell_exec()
- 確保在status_rrd_graph_img.php上對變量進行轉義/清理
- 替換exec調用以通過status_rrd_graph_img.php上的unlink_if_exists()運行rm
- 在status_rrd_graph_img.php上用php_uname(&lsquo; n')替換所有`hostname`調用
- 在status_rrd_graph_img.php上用strftime()替換所有`date`調用
- 添加$ _gb以從status_rrd_graph_img.php上的exec返回收集可能的垃圾
- 在讀取包xml文件時避免在pkg_edit.php中進行目錄遍歷,在嘗試閱讀之前也檢查文件是否存在
- 從miniupnpd菜單和快捷方式 中刪除id = 0
- 刪除。和/從pkg名稱以避免pkg_mgr_install.php 中的目錄遍歷
- 修復核心轉儲以查看無效的包日誌
- 避免在system_firmware_restorefullbackup.php 上進行目錄遍歷
- 成功登錄時重新生成會話ID以避免會話固定
- 使用rss.widget.php中的htmlspecialchars()保護rssfeed參數
- 使用services_status.widget.php中的htmlspecialchars()保護servicestatusfilter參數
- 始終在Cookie上設置httponly屬性
- 設置&lsquo;禁用webConfigurator登錄自動完成',默認為新安裝
- 簡化邏輯,為log.widget.php上的用戶輸入參數添加一些保護
- 確保對單引號進行編碼,並避免在exec.php上註入javascript
- 在firewall_nat_edit.php上添加缺少的NAT協議
- 刪除DSCP中空格後的額外數據並修復pf規則語法。 #3688
- 如果嚴格地在結束時間之前,則僅包括預定規則。 #3558
版本2.1.1中的新功能:
- 最大的變化是關閉以下安全問題/ CVE:
- FreeBSD-SA-14:01.bsnmpd / CVE-2014-1452
- FreeBSD-SA-14:02.ntpd / CVE-2013-5211
- FreeBSD-SA-14:03.openssl / CVE-2013-4353,CVE-2013-6449,CVE-2013-6450
- 除此之外,em / igb / ixgb / ixgbe驅動程序已升級為添加對i210和i354網卡的支持。一些英特爾10Gb以太網NIC也將提高性能。
評論沒有發現