Distribuições LinuxCibersegurançaLinux

IPFire 2.29 Update 199 moderniza o firewall com Wi-Fi 7 e LLDP na Web UI

Wi-Fi mais rápido, topologia mais visível e core mais sólido no IPFire 2.29 Update 199.

Escrito por
Emanuel Negromonte
PorEmanuel Negromonte
Emanuel Negromonte é Jornalista, Mestre em Tecnologia da Informação e atualmente cursa a segunda graduação em Engenharia de Software. Com 14 anos de experiência escrevendo sobre...
Follow:
Distribuição IPFire Linux Firewall agora vem com Linux Kernel 6.6 LTS
Tópicos
  • “WiFi 7 e WiFi 6” passam a ser suportados com uso de recursos modernos do padrão, não só compatibilidade de hardware.
  • O IPFire agora detecta e habilita capacidades do hardware de forma automática,
  • SSID Protection é habilitado por padrão, e com 802.11w o sistema ativa proteções adicionais automaticamente.
  • LDP e CDPv2 permitem que o firewall detecte dispositivos conectados diretamente e identifique portas de switch.
  • O proxy recebe mitigação para CVE-2025-62168 na configuração.

O IPFire 2.29 Core Update 199 é uma atualização com foco claro em duas frentes: conectividade sem fio moderna, com Wi-Fi 7 e Wi-Fi 6, e mais visibilidade de topologia em ambientes corporativos via LLDP e CDPv2 na Web UI. O pacote também traz kernel atualizado, ajustes de segurança e uma rodada ampla de updates de componentes críticos como Suricata e OpenSSH.

A proposta é pragmática: melhorar desempenho e eficiência no wireless, ao mesmo tempo em que facilita observabilidade e troubleshooting na camada de rede.

Pacote de fatos extraídos da fonte

  • Versão: IPFire 2.29 Core Update 199.
  • Novos padrões Wi-Fi: suporte a Wi-Fi 7 (802.11be) e Wi-Fi 6 (802.11ax), além de 802.11ac/agn.
  • Seleção de modo Wi-Fi: é possível escolher o “modo preferido”, e o IPFire ajusta o restante automaticamente.
  • Detecção automática de capacidades: o IPFire detecta e ativa recursos suportados pelo hardware, substituindo a configuração manual de HT Capabilities e VHT Capabilities.
  • Segurança no Wi-Fi: com WPA2 ou WPA1, permite uso de SHA256 na autenticação para reforçar o handshake em clientes que não usam WPA3.
  • Wi-Fi por padrão: SSID Protection ativado; com 802.11w (Management Frame Protection), habilita Beacon Protection e Operating Channel Validation automaticamente.
  • Eficiência no ar: conversão de multicast para unicast ativada por padrão; detecção de radar em background quando suportada.
  • Protocolos de rede: suporte nativo a LLDP e CDPv2; configuração na Web UI em Network -> LLDP.
  • Kernel: rebase para Linux 6.12.58; mudanças de configuração em debug de preempção para ganhos de performance.
  • IPS: Suricata 8.0.2; correção no suricata-reporter 0.5 para evitar perda de alertas quando o SQLite está ocupado; relatórios do IPS enviados sempre à 1 am.
  • OpenVPN (Roadwarrior): destaque para uso de cifras legadas; suporte a push de múltiplos DNS e WINS; servidor sempre em modo multi home; correção de bug no push da primeira rota customizada; autenticador tenta incentivar OTP; remoção da diretiva auth-nocache dos configs de cliente.
  • Proxy: mitigação aplicada para CVE-2025-62168 na configuração do proxy; correção de race condition no URL Filter durante compilação de bases.
  • Mudanças de sistema: D-Bus daemon agora roda por padrão; dracut-ng substitui dracut após o projeto original ter sido abandonado pela RedHat; adição da ferramenta dma para criar inboxes locais.
  • Criptografia SSH: suite alinhada ao upstream e passa a preferir AES-GCM em vez de AES-CTR.
  • Correções de firewall: correção de race condition que podia derrubar regras aplicadas ao inserir outra regra.
  • Pacotes atualizados (seleção citada na fonte): cURL 8.17.0, BIND 9.20.16, OpenLDAP 2.6.10, OpenSSH 10.2p1, OpenSSL 3.6.0, SQLite 3.51.0, Suricata 8.0.2, fetchmail 6.5.7, nano 8.7, Samba 4.23.2, Tor 0.4.8.19, ffmpeg 8.0, ClamAV 1.5.1.

Entenda em 90 segundos

O Wi-Fi 7 no IPFire não é só “ter suporte ao hardware”. A atualização tenta aproveitar recursos modernos do padrão, automatizando capacidades que antes exigiam ajuste manual, e ligando padrões de eficiência por default, como multicast para unicast e SSID Protection.

Do lado da observabilidade, LLDP/CDPv2 traz um ganho operacional importante: o firewall passa a “falar” com switches e dispositivos conectados diretamente, ajudando a identificar portas e a reduzir tempo de diagnóstico em redes maiores, além de alimentar ferramentas de mapeamento e monitoramento.

Conectividade: Wi-Fi 7 e observabilidade

Wi-Fi 7 e Wi-Fi 6 como “primeira classe” no access point

O IPFire passa a dar tratamento nativo aos recursos de 802.11be (Wi-Fi 7) e 802.11ax (Wi-Fi 6) ao operar como Wireless Access Point. A interface web muda pouco, mas a lógica interna muda bastante: você seleciona o modo preferido e o sistema “fecha” o restante com base nas capacidades do hardware.

Um ponto relevante é a virada para autodetecção de capacidades. Aquilo que antes era um ajuste manual e sujeito a erro, como HT Capabilities e VHT Capabilities, passa a ser inferido e habilitado automaticamente, com a promessa de mais estabilidade e performance no wireless.

Segurança e eficiência wireless ligadas por padrão

A atualização também puxa o baseline de segurança e eficiência sem exigir que o administrador “lembre de ligar tudo”:

  • SSID Protection habilitado por padrão.
  • Se 802.11w estiver em uso, o IPFire habilita Beacon Protection e Operating Channel Validation automaticamente.
  • Em WPA2 ou WPA1, permite SHA256 na autenticação para fortalecer o handshake em clientes sem WPA3.
  • Multicast para unicast ativado por padrão, visando reduzir consumo de airtime em redes com clientes modernos.
  • Detecção de radar em background quando suportada pelo hardware.

A fonte também menciona larguras de canal de até 320 MHz e valores de throughput “over the air” para fluxos espaciais, mas isso aparece como capacidade do padrão, não como benchmark medido em IPFire.

LLDP e CDPv2 para descobrir “o que está do outro lado do cabo”

O IPFire introduz suporte nativo a LLDP e CDPv2. Na prática, isso permite que o firewall identifique dispositivos de rede conectados diretamente e descubra a qual porta de switch ele está ligado.

Em redes maiores, essa visibilidade reduz fricção no dia a dia: documentação, inventário, troubleshooting e integração com ferramentas de mapeamento. A fonte cita uso com ferramentas como Observium. A configuração fica na Web UI em Network -> LLDP.

Deep dive técnico: segurança e core

Distribuição IPFire Linux Firewall agora vem com Linux Kernel 6.6 LTS

IPS com Suricata 8.0.2 e correção de confiabilidade sob carga

O Suricata foi atualizado para 8.0.2. Um detalhe operacional importante é a correção no pipeline de relatórios: o recurso de reporting podia “dropar” alertas quando o SQLite interno estava ocupado. Isso foi corrigido no suricata-reporter 0.5.

Outra mudança é de previsibilidade: os relatórios do IPS passam a ser enviados sempre à 1 am, atendendo a pedidos de quem quer receber o resumo antes do início do expediente.

OpenVPN Roadwarrior com ajustes para ambientes complexos

O fluxo de OpenVPN Roadwarrior recebe mudanças que miram redes reais, com múltiplas interfaces e requisitos de push:

  • Push de múltiplos servidores DNS e WINS.
  • Servidor sempre em modo multi home, para responder com o mesmo IP em cenários de múltiplas interfaces.
  • Aviso quando o servidor usa cifras legadas, como preparação para futuras versões do OpenVPN.
  • Correção de bug que impedia o push da primeira rota customizada.
  • Autenticador tenta incentivar OTP quando o cliente se confunde na autenticação.
  • Remoção da diretiva auth-nocache dos configs de cliente, descrita como ineficaz.

Proxy, firewall e alinhamento criptográfico do SSH

No proxy, a atualização aplica mitigação para CVE-2025-62168 na configuração. A fonte não detalha mecanismo além de indicar que a mitigação foi aplicada ao proxy config, então qualquer aprofundamento além disso seria [NÃO INFORMADO NA FONTE].

Ainda no eixo de confiabilidade, há correções de race condition:

  • No URL Filter, que podia ser encerrado à força durante a compilação de bases.
  • No mecanismo de regras, onde regras aplicadas podiam cair ao inserir outra regra de firewall.

No OpenSSH, a suite de cifras foi “alinhada ao upstream” e passa a preferir AES-GCM em vez de AES-CTR, um ajuste típico de endurecimento por padrão.

Kernel e base do sistema

O kernel do IPFire foi rebaseado em Linux 6.12.58, com correções de segurança e estabilidade. A fonte também aponta mudanças de configuração em debug de preempção como capazes de trazer ganhos de performance em muitos sistemas.

Na base do sistema, duas mudanças chamam atenção:

  • D-Bus daemon passa a rodar por padrão, preparando terreno para desenvolvimentos futuros.
  • dracut-ng substitui dracut, após o projeto original ter sido abandonado pela RedHat.
Download do IPFire 2.29 – Core Update 199

O que muda para quem usa

Além das features principais, o update é uma consolidação de atualizações de componentes. Abaixo, um recorte do que mais tende a impactar operação e segurança no dia a dia:

  • Kernel: Linux 6.12.58
  • IPS: Suricata 8.0.2 e suricata-reporter 0.5
  • Criptografia e serviços: OpenSSH 10.2p1, OpenSSL 3.6.0
  • Infra de rede: cURL 8.17.0, BIND 9.20.16
  • Diretório e banco local usado por componentes: OpenLDAP 2.6.10, SQLite 3.51.0
  • Add-ons e utilitários destacados na fonte: ClamAV 1.5.1, ffmpeg 8.0, nano 8.7, Samba 4.23.2, Tor 0.4.8.19, fetchmail 6.5.7

Nos add-ons, a fonte também cita correções no arpwatch (envelope sender correto, MACs com zero-padding), e que o ffmpeg 8.0 volta a estar linkado com OpenSSL e lame para permitir streaming de fontes externas via HTTPS e mp3.

Mini-glossário

  • LLDP: protocolo de descoberta em camada 2 para identificar vizinhos diretamente conectados e atributos do link.
  • Wi-Fi 7: padrão 802.11be, voltado a mais eficiência e capacidade, com canais mais largos e recursos avançados de operação.
  • Suricata: motor de IDS/IPS usado para detecção e prevenção de intrusões com regras e inspeção de tráfego.
  • dracut-ng: ferramenta de geração de initramfs (imagem de boot inicial), adotada como substituta do dracut.
  • AES-GCM: modo de cifra autenticada que combina criptografia e integridade, frequentemente preferido como baseline moderno.
  • CDPv2: variante do protocolo de descoberta da Cisco, útil para identificar dispositivos e topologia em redes com switches Cisco.
TAGS:
Compartilhe este artigo
TecnologiaNotícias

Ford CES 2026: IA, assistente inteligente e direção sem as mãos

hgFUw5jp ford ces 2026 ia direcao nivel 3

Ford CES 2026: inovação, IA e direção sem as mãos chegando ao mercado.

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto