La llegada de IPFire 2.29 – Core Update 200 marca un antes y un después en la evolución de esta distribución de firewall y router de código abierto. Nos encontramos ante una actualización de gran calado que introduce un kernel moderno, refuerza la seguridad, mejora el rendimiento de red y renueva una gran cantidad de paquetes y complementos. Además, suma tecnologías de última generación como WiFi 7 y soporte avanzado para descubrimiento de red.

Este Core Update no se limita a “parches menores”; es una versión cargada de cambios estructurales: nuevo sistema de listas de bloqueo de dominios (IPFire DBL), mejoras profundas en Suricata y en el sistema de informes del IPS, cambios importantes en OpenVPN, un proxy más robusto frente a vulnerabilidades recientes, soporte nativo para LLDP/CDP y un largo listado de bibliotecas y herramientas actualizadas. Todo ello manteniendo el enfoque de IPFire en estabilidad, seguridad y facilidad de administración desde la interfaz web.

IPFire 2.29 Core Update 200: nuevo kernel de IPFire y cambios de plataforma

Uno de los pilares de este lanzamiento es la actualización del kernel de IPFire. La rama principal del sistema se ha rebasado a Linux 6.18.x LTS, lo que supone una oleada de mejoras en seguridad, rendimiento y compatibilidad de hardware. La línea 6.18 LTS incorpora correcciones acumuladas de estabilidad, parches de seguridad actuales y optimizaciones que reducen la latencia y mejoran el rendimiento del filtrado de paquetes, algo especialmente relevante en escenarios con alto tráfico o muchas reglas de firewall y NAT.

El nuevo kernel aporta mejoras generales en el rendimiento de red: mayor rendimiento en throughput, menor latencia y capacidades de filtrado de paquetes más avanzadas. También integra las últimas mitigaciones frente a vulnerabilidades de hardware recientes, reforzando la protección frente a ataques que explotan fallos en CPU modernas. Esto es clave en entornos donde IPFire se utiliza como firewall perimetral o en infraestructuras críticas con altos requisitos de seguridad.

Dentro de esta transición también hay una decisión importante: se ha retirado el soporte al sistema de archivos ReiserFS. El propio kernel de Linux ha marcado esta tecnología como obsoleta, y el proyecto IPFire ha seguido ese camino. Si tu instalación actual de IPFire utiliza ReiserFS, no podrás aplicar Core Update 200 de forma directa. En su lugar, tendrás que realizar una reinstalación limpia utilizando un sistema de archivos admitido (como ext4, XFS u otros soportados por las imágenes recientes de IPFire). En la interfaz web ya se venía avisando desde hace tiempo a quienes seguían usando ReiserFS, de modo que esta restricción no pilla completamente por sorpresa.

IPFire DBL: nueva lista de bloqueo de dominios en IPFire 2.29 Core Update 200

Desde que la famosa lista Shalla dejó de estar disponible, el proxy web de IPFire se había quedado huérfano de una fuente estable de dominios para filtrar contenido malicioso, redes sociales o páginas para adultos. Ante la falta de alternativas realmente completas y mantenidas, el equipo de IPFire ha decidido crear y mantener su propia lista de bloqueo de dominios: IPFire DBL.

IPFire DBL se encuentra en una fase de beta temprana, pero ya se puede utilizar de manera funcional en dos puntos clave del sistema:

• Filtro de URL del proxy: el administrador puede seleccionar IPFire DBL como fuente de dominios a bloquear. Así, cualquier acceso que circule a través del proxy HTTP/HTTPS se contrastará con la lista, impidiendo el acceso a categorías de sitios potencialmente peligrosos o no deseados.
• Integración con Suricata (IPS): con la llegada de IPFire DBL, el proyecto se convierte también en proveedor de reglas para Suricata. Combinando la base de datos de dominios con la inspección profunda de paquetes (DNS, TLS, HTTP, QUIC), el IPS puede bloquear más exhaustivamente las conexiones hacia dominios prohibidos, incluso cuando no pasan por el proxy tradicional.

Aunque la base de datos aún está creciendo, la intención es ofrecer a los usuarios de IPFire una lista de bloqueo robusta, actualizada y específicamente pensada para integrarse con el ecosistema del firewall. El equipo anima a la comunidad a probarla, reportar problemas y aportar sugerencias para pulirla en futuras versiones, donde se prevén mejoras importantes y nuevas capacidades.

IPFire 2.29 Core Update 200 introduce mejoras en el sistema de prevención de intrusiones (IPS)

El IPS basado en Suricata recibe una serie de cambios profundos orientados a mejorar el rendimiento, la fiabilidad y la utilidad de sus informes. En una actualización previa se introdujo la posibilidad de almacenar las firmas precompiladas en caché para acelerar la carga de Suricata. Sin embargo, ese caché podía crecer de forma incontrolada y ocupar demasiado espacio en disco.

Para corregir este comportamiento, Core Update 200 incorpora un parche que permite a Suricata eliminar automáticamente las firmas no utilizadas. De este modo se mantiene el beneficio del arranque rápido sin penalizar el almacenamiento a largo plazo, algo clave en dispositivos con discos pequeños o en appliances dedicados.

El componente de informes (suricata-reporter) también ha sido ampliado: ahora, para las alertas relacionadas con DNS, HTTP, TLS o QUIC, se añade información adicional como el nombre de host y otros detalles relevantes. Esta información aparece tanto en los correos electrónicos de alerta como en los informes en PDF, ayudando a los administradores a investigar con mayor precisión posibles incidentes de seguridad o violaciones de la política corporativa.

Además de estos cambios, en una actualización reciente próxima a Core Update 200 se introdujeron mejoras en la gestión del IPS ante fallos. En sistemas con poca memoria se había detectado que, si Suricata se caía o era terminado por el sistema para liberar RAM, el firewall podía quedar más abierto de lo deseado, exponiendo servicios internos. Aunque no se observaron ataques reales explotando este comportamiento, se consideró un riesgo de seguridad importante.

Para mitigarlo, ahora hay un proceso vigilante que supervisa el IPS y lo reinicia si detecta una caída inesperada. El tráfico marcado como “whitelist” ya no se envía al IPS para su exclusión: se salta directamente en la cadena de iptables, optimizando rendimiento y reduciendo complejidad. También se ha añadido la posibilidad de filtrar tráfico IPsec, que antes quedaba fuera del análisis del IPS salvo en algunos casos concretos; ahora se puede inspeccionar siempre que se encamine por las interfaces configuradas.

En la interfaz web del IPS se ha incorporado un nuevo gráfico de rendimiento que muestra el caudal procesado dividido en tres categorías: tráfico escaneado (entrante y saliente), tráfico incluido en listas blancas y tráfico bypass. Esto proporciona una visión clara del uso real del IPS y permite afinar reglas y políticas de forma más informada.

OpenVPN: cambios en configuración y autenticación

El módulo de OpenVPN en IPFire recibe una buena tanda de ajustes para hacer la configuración de clientes y servidores más flexible y alineada con mejores prácticas actuales. A partir de esta versión, los ficheros de configuración de cliente dejan de incluir el valor MTU fijo. En lugar de eso, será el servidor quien “empuje” (push) la MTU adecuada a cada cliente, permitiendo que el administrador cambie este valor sin necesidad de regenerar todas las configuraciones de los usuarios. Conviene tener en cuenta que algunos clientes muy antiguos podrían no entender correctamente este modo de trabajo.

Si se utiliza autenticación en dos pasos con OTP, el token de un solo uso se envía ahora desde el servidor cuando el cliente tiene OTP habilitado. De esta forma se centraliza la lógica en el lado del servidor, evitando incoherencias y facilitando la gestión de credenciales temporales.

Asimismo, los perfiles de cliente ya no incluyen la autoridad certificadora (CA) incrustada fuera del contenedor PKCS#12. Hasta ahora esto podía provocar problemas al importar conexiones con herramientas como NetworkManager desde línea de comandos, al encontrar duplicidad de certificados. Como la CA ya va incluida dentro del archivo PKCS#12, se ha eliminado esta redundancia para simplificar el proceso y evitar errores.

En la vertiente de servidores “roadwarrior” se han añadido más ajustes. Cuando un servidor OpenVPN sigue usando cifrados considerados legacy, IPFire ahora lo resalta para advertir al administrador de que sería recomendable migrar a suites más modernas. También se permite empujar múltiples servidores DNS y WINS a los clientes, algo muy útil en redes complejas donde conviven varios dominios internos o servidores de nombres específicos.

El servidor de OpenVPN pasa a funcionar siempre en modo multi-home, lo que tiene sentido en un firewall con múltiples interfaces. Esto garantiza que el servidor responda a los clientes utilizando la misma dirección IP por la que se conectaron originalmente, incluso si el equipo tiene varios caminos de salida a Internet o redes internas. También se corrige un bug que impedía que se empujara correctamente la primera ruta personalizada definida para los clientes, y se mejora el flujo de autenticación OTP para insistir al cliente en que complete el segundo factor si se queda “atascado”.

Por último, se ha eliminado de las configuraciones de cliente la directiva auth-nocache, ya que su efecto real era prácticamente nulo en la práctica y generaba una falsa sensación de seguridad. Con estos cambios, OpenVPN en IPFire se alinea mejor con las recomendaciones actuales y facilita la vida al administrador.

WiFi 7 y WiFi 6: salto generacional en redes inalámbricas

Uno de los aspectos más llamativos de esta actualización es que IPFire aprovecha por fin todas las capacidades de WiFi 7 (802.11be) y WiFi 6 (802.11ax) para su rol de punto de acceso inalámbrico. Aunque el hardware ya podía funcionar antes, ahora se exponen y se gestionan adecuadamente las nuevas funciones de estos estándares.

En la configuración inalámbrica se puede elegir el modo WiFi preferido y dejar que IPFire se ocupe del resto. El sistema añade soporte completo para 802.11be y 802.11ax, junto con los modos ya soportados 802.11ac/agn. Esto incluye el uso de canales de hasta 320 MHz, lo que permite alcanzar anchos de banda de más de 5,7 Gbps con dos flujos espaciales o hasta unos 11,5 Gbps con cuatro flujos, todo ello a través del aire. Evidentemente, estas cifras dependen del hardware y del entorno de radio, pero el soporte está ahí y listo para explotar equipos de última generación.

IPFire detecta ahora de forma automática las capacidades avanzadas del hardware WiFi. Lo que antes se configuraba manualmente como “HT Capabilities” y “VHT Capabilities” —un proceso tedioso y propenso a errores— ahora se gestiona internamente. El sistema habilita de forma automática todas las funciones que soporte el dispositivo (MU-MIMO, canales anchos, etc.), consiguiendo redes inalámbricas más estables, rápidas y sencillas de administrar.

En entornos donde todavía se utilizan WPA2 o incluso WPA1, IPFire permite ahora emplear SHA256 en el proceso de autenticación para reforzar el handshake en aquellos clientes que no pueden trabajar con WPA3. Además, por defecto se activa la protección de SSID: si se están usando tramas de gestión protegidas (802.11w), el sistema habilita automáticamente la protección de beacon y la validación de canal operativo, dificultando ciertos ataques que manipulan la señalización de la red.

Para mejorar la eficiencia del aire, los paquetes multicast se convierten en unicast de forma predeterminada cuando la red está compuesta sobre todo por clientes modernos y rápidos. Esta técnica reduce el tiempo de aire desperdiciado en tráfico multicast tradicional y mejora la experiencia global, especialmente en redes densas. Si el hardware lo permite, la detección de radar (necesaria para DFS en determinadas bandas) se realiza en segundo plano, evitando interrupciones visibles en el servicio WiFi.

Aunque el formulario de la interfaz web no ha cambiado de forma radical, la mayor parte de la magia ocurre “por detrás”, optimizando parámetros y aprovechando el hardware al máximo. Los appliances de Lightning Wire Labs que integran IPFire activan estas capacidades de forma automática, de modo que los usuarios de esos dispositivos verán las mejoras sin tener que tocar apenas la configuración.

Soporte para LLDP y Cisco Discovery Protocol

Core Update 200 incorpora de manera nativa el soporte para Link Layer Discovery Protocol (LLDP) y Cisco Discovery Protocol versión 2 (CDPv2). Estos protocolos permiten que IPFire “anuncie” y detecte dispositivos a nivel de capa 2 en los segmentos directamente conectados, algo muy útil en infraestructuras de red complejas.

Gracias a LLDP/CDP, el firewall puede identificar a qué puertos de los switches está conectado, y a la inversa, los switches y herramientas de monitorización pueden ver con claridad dónde se encuentra IPFire en el mapa de red. Esto se integra muy bien con plataformas como Observium u otros sistemas de monitorización y cartografiado de topología, facilitando la gestión de grandes entornos con muchas VLANs, enlaces troncales y equipos distribuidos.

La funcionalidad se activa y configura desde la interfaz web, en el apartado Red → LLDP, donde se puede decidir en qué interfaces se habilita el protocolo, qué información se anuncia y cómo se integran los datos con el resto de la configuración de red.

DNS, PPP y otros servicios base en IPFire 2.29 Core Update 200

El proxy DNS de IPFire, basado en Unbound, también ha recibido una mejora importante. En lugar de ejecutarse de forma monohilo, Unbound ahora lanza un hilo por cada núcleo de CPU. Esto permite aprovechar los procesadores multinúcleo tan habituales hoy en día y reducir los tiempos de respuesta DNS bajo carga, lo que se nota en entornos con muchos clientes o muchas peticiones simultáneas.

En conexiones de acceso mediante PPP (como algunas líneas DSL, 4G o 5G), IPFire ajusta el envío de paquetes LCP keep-alive para emitirlos únicamente cuando no hay tráfico real en la línea. Este pequeño cambio reduce un poco la sobrecarga en la conexión, algo que se agradece especialmente en enlaces móviles con recursos más limitados o con contadores de datos estrictos.

En la interfaz de administración se ha solucionado un detalle visual: la página de DNS muestra ahora de forma consistente la leyenda de los elementos representados, evitando confusiones al interpretar el estado de los servidores, resoluciones o modos de trabajo configurados.

Proxy web y seguridad reciente

La parte de proxy HTTP/HTTPS recibe cambios centrados en la seguridad. Se ha aplicado una mitigación específica frente a la vulnerabilidad CVE-2025-62168 dentro de la configuración del proxy, reforzando la protección frente a patrones de ataque relacionados con esa CVE. De esta forma, quienes usan el proxy transparente o el proxy autenticado de IPFire se benefician de medidas adicionales sin tener que tocar manualmente los ficheros de configuración.

También se ha corregido una condición de carrera en el proceso del filtro de URL. Bajo ciertas circunstancias, mientras se compilaban las bases de datos de filtrado, el proceso podía ser terminado abruptamente, provocando fallos temporales o inconsistencias. Con la corrección incluida en Core Update 200, la compilación de las listas se realiza de forma más robusta, minimizando el riesgo de que el proceso de filtrado quede inoperativo durante las actualizaciones.

Interfaz web y experiencia de administración

En la interfaz web de IPFire se han pulido diversos aspectos de usabilidad y corrección de errores. Se ha solucionado un problema en la sección de firewall que impedía crear nuevos grupos de localización, una función muy útil para agrupar países o regiones y aplicar reglas basadas en geolocalización.

En la sección de vulnerabilidades de hardware se mejora el mensaje que se muestra cuando el sistema no soporta SMT (Simultaneous Multithreading), aclarando al administrador por qué ciertas mitigaciones o estados de seguridad aparecen de una forma u otra. Además, en el módulo de correo se ha corregido un bug por el cual credenciales con determinados caracteres especiales podían “estropearse” al guardarse, provocando errores de autenticación con servidores de correo externos.

Actualizaciones de seguridad: OpenSSL, glibc y más

En el plano de bibliotecas críticas, OpenSSL se actualiza a la versión 3.6.1 y se parchean múltiples vulnerabilidades, entre ellas CVE-2025-11187, CVE-2025-15467, CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795 y CVE-2026-22796. Esta cascada de CVEs da una idea del volumen de trabajo de endurecimiento criptográfico que se incorpora en esta versión.

La biblioteca estándar glibc también ha sido parcheada frente a varias vulnerabilidades relevantes: CVE-2026-0861, CVE-2026-0915 y CVE-2025-15281. Al tratarse de una pieza central de todo el sistema, tenerla actualizada y corregida es esencial para reducir la superficie de ataque y asegurar que las aplicaciones se benefician de las últimas correcciones.

Gran actualización de paquetes y componentes básicos

Core Update 200 trae un aluvión de paquetes renovados. Entre los más destacados se incluyen Apache 2.4.66, bash 5.3p9, BIND 9.20.18, coreutils 9.9, cURL 8.18.0, dhcpcd 10.3.0, elinks 0.19.0, glib 2.87.0, GnuPG 2.4.9, GnuTLS 3.8.11 y muchas otras bibliotecas gráficas y de sistema como harfbuzz 12.3.0, hwdata 0.403, iana-etc 20251215, intel-microcode 20251111 o libarchive 3.8.5.

También se actualizan libcap-ng 0.9, libgpg-error 1.58, libidn2 2.3.8, libjpeg 3.1.3, libpcap 1.10.6, libplist 2.7.0, libpng 1.6.53, libtasn1 4.21.0, liburcu 0.15.5, libxcrypt 4.5.1, así como herramientas de gestión de volúmenes y RAID como LVM2 2.03.38 y mdadm 4.5. Se incluyen nuevas versiones de memtest (8.00), meson (1.10.1), newt (0.52.25), ninja (1.13.2), oath-toolkit (2.6.13), OpenVPN (2.6.17), OpenSSL (3.6.1 en la pila base), SQLite (3.51.100), tzdata (2025c), readline (8.3p3), strongSwan (6.0.4), suricata (8.0.3), suricata-reporter (0.6), Rust (1.92.0), Unbound (1.24.2), wireless-regdb (2025.10.07), vim (9.1.2098) y xz (5.8.2).

En cuanto a complementos, se han actualizado alsa 1.2.15.3, ClamAV 1.5.1, dnsdist 2.0.2, fetchmail 6.6.0, gdb 17.1, Git 2.52.0, fort-validator 1.6.7, freeradius 3.2.8, libtpms 0.10.2, opus 1.6.1, postfix 3.10.6, samba 4.23.4, strace 6.18, tmux 3.6a, Tor 0.4.8.21 y tshark 4.6.3. En conjunto, este bloque de actualizaciones proporciona mejoras de seguridad, soporte de nuevos protocolos, compatibilidad con hardware moderno y correcciones de errores distribuidas a lo largo de todo el stack.

Add-ons destacados: arpwatch, ffmpeg y otros

Entre los complementos adicionales incluidos con IPFire, destaca arpwatch como nuevo add-on. Esta herramienta monitoriza las direcciones MAC que aparecen en la red y puede avisar de cambios sospechosos (por ejemplo, cuando una IP pasa a estar asociada a otra MAC). En la versión incluida se ha corregido un problema relacionado con el remitente envelope de los correos electrónicos, que causaba que algunos servidores de correo rechazasen los mensajes. Ahora se envía un remitente correcto, y las direcciones MAC se muestran siempre con relleno de ceros, mejorando la legibilidad de los informes.

El paquete ffmpeg se actualiza a la versión 8.0 en el conjunto de complementos. Se ha recompilado vinculándolo de nuevo contra OpenSSL y la biblioteca lame, lo que permite recuperar funciones de streaming desde fuentes externas mediante HTTPS y codificación en MP3. Esto facilita el uso de IPFire como punto de integración para soluciones multimedia que necesiten reproducir o reenviar contenido seguro.

Otros complementos que se ponen al día incluyen dnsdist 2.0.1, fetchmail 6.5.7, hostapd con revisiones recientes (f747ae0), libmpdclient 2.23, mpd 0.24.5, mympd 22.1.1, nano 8.7, openvmtools 13.0.5, Samba 4.23.2, shairport-sync 4.3.7, Tor 0.4.8.19, tshark 4.6.1 y zabbix_agentd 7.0.21 LTS. Estas versiones corrigen fallos, añaden soporte a nuevas funcionalidades y ajustan la compatibilidad con versiones modernas de librerías base.

Con todo este conjunto de cambios, IPFire 2.29 Core Update 200 se consolida como una plataforma de firewall madura, segura y preparada para hardware y estándares de última generación, desde WiFi 7 hasta las últimas versiones del kernel y componentes criptográficos. Quienes ya dependen de IPFire para proteger redes domésticas o empresariales encuentran en esta versión un salto importante en rendimiento, visibilidad de red y capacidad de filtrado, respaldado por una comunidad activa y un ciclo de desarrollo que sigue incorporando mejoras constantes en seguridad y soporte.