pfSense®: caracteristicas e notas de la versión delle ultime versioni


Main Features pfSense



pfSense® 2.2.1 Beta

pfSense® 2.2.1 Beta
La release di pfSense® 2.2.1 è ormai a buon punto. Questo sigifica che tutte le sue nuove features sono ora elencate di seguito e dovrebbero rimanere stabili fino alla fine del processo di sviluppo. Se volete vedere il dettaglio delle singole features e la percentuale di comletamente delle stesse potete cliccare sulla roadmap.

Da notare che oltre alle features di pfSense® 2.2.1 è presente anche una rodmap incomleta di pfSense® 2.3 ed oltre.

Attenzione: essendo una Beta, No è assolutamente consigliato utilizzarla in sistemi di produzione. È tuttavia possibile scaricarla ed installarla a solo scopo di test.
Se avete un ambiente di test su cui fare delle prove potete trovare i link per il download qui.

Qualora decidiate di testarla, potete riportare la vostra esperienza sul forum di pfSense® 2.2.1.

Si sottolinea che le versioni beta rilasciate variano molto molto spesso. Si consiglia, nei propri ambienti di test, di fare aggiornamenti alle release rilasciate.

Perchè vengono rilasciate le versioni beta?

Essendo pfSense® un sistema open surce, le versioni beta vengono rilasciate in modo che gli utenti di tutto il mondo possano scaricare e testare nel proprio ambiente di test le nuove feature e dare il loro feedback sui forum di discussione, segnalare bachi e segnalare necessità di nuove features.

Problemi noti

La lista attuale dei "Known Issues" cioè problemi noti, indicata come "Feedback" sono "presunti risolti", tuttavia necessitano di maggiori test e/o necessitano di maggiori dettagli per replicare il problema e riuscire a risolverlo.
Quelli segnati come "new" sono problemi che permangono.
Sono ben accetti i contributi e feedback sui problemi "aperti".

Prima di aprire nuovi ticket, per piacere postateli sul forum di pfsense® 2.2.1 dove si può valutare il problema.

Prima di segnalare problemi, assicurarsi di avere l'ultima snapshot installata, è molto probabile che il problema che hai trovato sia già stato segnalato nella nostra repository git. Potete vedere tutti i commit qui.

Avviso di aggiornamento importante

È possibile aggiornare dalla 2.2.1 alla 2.2 come una qualsiasi versione, ma No sarà più possibile il downgrade dalla 2.2.1 alla 2.2
Dopo l'aggiornamento, il formato della tua configurazione sarà convertita dalla 2.1 alle 2.2 .
Quindi, prima di fare l'aggiornamento, fai un backup della tua 2.1 in modo che se lo desideri tu possa reinstallarlo e ricaricare la tua configurazione.

Fate atenzione!!!
Aspettatevi che, una volta fatto l'aggiornamento, No funzioni più nulla. La versione beta è fatta per gli sviluppatori che ne possono testare le features e possono dare il proprio feedback alla comunità con gli strumenti sopra indicati. Tutti i feedback e contributi sono bene accetti.
Pfsense® 2.2 Beta: nuove features e miglioramenti
Qui di seguito, l’elenco completo di tutte le nuove features
Security/Errata notices
  • vt(4) crash with improper ioctl parameters
  • Update to include reliability fixes from OpenSSL
  • Integer overflow in IGMP protocol

Potentially Relevant


The following updates are included from upstream in FreeBSD, but are not directly relevant. Neither pfSense nor its packages include SCTP services, but such services may have been manually added by the user.
  • SCTP SCTP_SS_VALUE kernel memory corruption and disclosure
  • SCTP stream reset vulnerability

Not Relevant


  • OpenSSL "FREAK" vulnerability:
  • Does not affect the web server configuration on the firewall as it does not have export ciphers enabled.
  • pfSense 2.2 already included OpenSSL 1.0.1k which addressed the client-side vulnerability.
  • If packages include a web server or similar component, such as a proxy, an improper user configuration may be affected. Consult the package documentation or forum for details.

Misc binary/OS Changes

  • Upgraded PHP to 5.5.22.
  • Re-enabled Suhosin in PHP.
  • Updated 802.11 code from -CURRENT.
  • Added athstats, cryptostats and cryptodev back. #4239.
  • Fixed AESNI module checks when used inside a virtual machine.

DNS Resolver

  • Added correct scaling of rrset-cache-size in unbound.conf. #4367
  • Added support for 0x20 DNS random bit. #4205
  • Changed DNS Resolver default values to be a bit more strict: Enable Hide Identity, Hide Version, Harden Glue, Harden DNSSEC data.
  • Added a check to test if Unbound is enabled and using the same port before allowing dnsmasq to be enabled.#4332
  • Removed hard-coded value for harden-referral-path. It defaults to no, so no behavior change, and that setting is unlikely to ever become a default. This allows users to configure an override to enable this option if desired. #4399

VIP/CARP

  • Added input validation to prevent the VIP "interfaces" from being assigned since they are just an identification of the VIP for tracking and not actual interfaces. #4389
  • Fixed functions to properly return the VIP subnet now that the CARP might not match its parent interface subnet. #4390
  • Fixed a bug that caused the status icon from previous CARP VIP to be shown in cases where the IP address was not present on an interface.
  • Changed the carp demotion factors slightly to avoid CARP transitions that are most likely unnecessary. (Do not demote on NIC send errors or pfsync errors)

Rules/ NAT

  • Fixed ordering of DHCPv6 client and bogon rules so the bogon rules can't block DHCPv6 requests. #3395
  • Fixed a bug where applying NAT changes in Hyper-V could break the running NAT configuration. #4445
  • Fixed a bug where marking a packet with only a number resulted in a broken rule. #4274
  • Fixed DSCP choices that were No-functional and resulted in a broken ruleset. #4302
  • Fixed PHP memory exhaustion on NAT pages with VIP ranges on a 32 bit (i386) versions. #4317 (Related to #4318 )
  • Fixed input validation on Outbound NAT to accept a port range. #4300
  • Removed Carrier-Grade NAT subnet from "Block private networks" as it was in 2.0.x and earlier releases since it specifically notes RFC 1918 and CGN is more closely related to bogon networks. #4379

IPsec

  • Added MOBIKE control, now disabled by default. #3979
  • Fixed page rendering so MOBIKE is only shown with IKEv2 selected, NAT-T only shown with IKEv1 selected.
  • Removed Prefer older IPsec SAs option from the GUI, and existing configurations with it enabled will not have that setting applied. This is almost never desirable, and with the change to strongSwan it frequently was the source of problems. The very few who might desire such an option can configure the net.key.preferred_oldsa sysctl accordingly under System > Advanced, System Tunables.
  • Fixed Phase 2 duplication issue. #4349
  • Added input validation to prevent use of AES key lengths larger than 128-bit when the glxsb cryptographic accelerator is enabled. #4361
  • Added an option for an IPsec tunnel to act as a responder only. #4360
  • Added a filter reload when IPsec is disabled. #4245
  • Fixed RSA cert handling in IPsec to use double quotes on asn1dn specification so it is properly interpreted by strongSwan.#4275
  • Added an option to allow controlling unique ID handling in IPsec advanced settings. #4359
  • Fixed restartipsec command line script.
  • Added better handling of the DNS domain name supplied to IPsec mobile clients. #4418

OpenVPN

  • Added encoding for username and password to avoid issues with special characters. #4340
  • Fixed issues with OpenVPN TLS and authentication scripts. #4329
  • Fixed issues with handling of the Authentication Mode if the user changes the value after changing other incompatible settings.

DNS Resolver

  • Added correct scaling of rrset-cache-size in unbound.conf. #4367
  • Added support for 0x20 DNS random bit.#4205
  • Changed DNS Resolver default values to be a bit more strict: Enable Hide Identity, Hide Version, Harden Glue, Harden DNSSEC data.
  • Added a check to test if Unbound is enabled and using the same port before allowing dnsmasq to be enabled. #4332
  • Removed hard-coded value for harden-referral-path. It defaults to no, so no behavior change, and that setting is unlikely to ever become a default. This allows users to configure an override to enable this option if desired. #4399

Traffic Shaping

  • Fixed input validation errors in the Traffic Shaper wizard due to old data not being cleared. #4333
  • Fixed handling of Upstream SIP Server in the Traffic Shaper wizard. #4314
  • Fixed crash when using limiters and pfsync. #4310
  • Fixed limiters used with IPv6. #2526

Link utili