La nueva IPFire 2.29 Core Update 199 ya está disponible y llega como una revisión importante de esta distribución de firewall basada en Linux, muy utilizada como encaminador y cortafuegos dedicado. La actualización se centra en reforzar la seguridad, mejorar la gestión de redes inalámbricas de última generación y pulir varias funciones críticas para la administración diaria de redes profesionales.

Con este lanzamiento, IPFire da un paso más para adaptarse a entornos de red cada vez más complejos, donde conviven Wi-Fi de alta velocidad, segmentación avanzada y requisitos estrictos de monitorización. Aunque se trata de un proyecto global, muchas de las novedades resultan especialmente interesantes para equipos de seguridad y operaciones de redes en España y en el resto de Europa, donde el despliegue de Wi-Fi 6 y Wi-Fi 7 y la presión normativa sobre la ciberseguridad son cada vez mayores.

Soporte para Wi‑Fi 6 y Wi‑Fi 7 con más control

Uno de los cambios más visibles de IPFire 2.29 Core Update 199 es la incorporación de soporte nativo para los estándares Wi‑Fi 6 y Wi‑Fi 7. El sistema permite ahora seleccionar el modo inalámbrico preferido y es capaz de detectar de forma automática las capacidades que ofrece el hardware instalado, habilitando aquellas funciones que sean compatibles sin necesidad de configuraciones manuales demasiado complejas.

La actualización también activa por defecto la protección de SSID, una medida pensada para reforzar la seguridad de las redes inalámbricas frente a distintos tipos de ataques y suplantaciones. Además, se incorpora la posibilidad de convertir, de manera predeterminada, los paquetes de multidifusión en paquetes unidifusión, lo que puede mejorar la eficiencia y la estabilidad en ciertos despliegues Wi‑Fi, especialmente en redes con un número elevado de clientes.

Otra novedad relacionada con la parte inalámbrica es la detección de radar en segundo plano, clave para ajustarse a las normativas sobre el uso del espectro radioeléctrico, algo especialmente relevante en Europa. Esta función ayuda a evitar interferencias con sistemas prioritarios que operan en determinadas bandas de frecuencia, alineando la plataforma con las exigencias regulatorias.

Mayor visibilidad de red con LLDP y CDPv2

En entornos corporativos y de proveedores de servicios, la visibilidad sobre qué se conecta a qué es fundamental. Por eso, IPFire 2.29 Core Update 199 integra soporte nativo para LLDP (Link‑Local Discovery Protocol) y Cisco Discovery Protocol versión 2 directamente en su interfaz web, dentro del apartado de servicios dedicado a LLDP.

Gracias a esta integración, el cortafuegos es capaz de identificar los dispositivos de red conectados a sus interfaces y, lo que es más útil en instalaciones amplias, saber a qué puertos de los switches está enlazado. Esta información puede alimentar herramientas de monitorización y de inventario de red utilizadas en grandes despliegues, facilitando tareas de diagnóstico, auditoría y reorganización de la topología.

Para administradores que gestionan varias sedes, armarios de comunicaciones o centros de datos, contar con estos datos centralizados en la propia interfaz web de IPFire ayuda a reducir tiempos de intervención y a minimizar errores cuando se modifican conexiones físicas o se realizan cambios en la configuración de switches y routers adyacentes.

Actualización del kernel y cambios en el núcleo del sistema

El equipo de desarrollo ha actualizado el kernel de Linux que utiliza IPFire, rebasándolo a la versión 6.12.58. Este salto incorpora numerosas correcciones de estabilidad y seguridad procedentes del ecosistema Linux, lo que repercute en un funcionamiento más robusto del cortafuegos, especialmente bajo carga o en escenarios con tráfico muy variado.

Junto a esta actualización de núcleo, se ha producido un cambio significativo en el sistema de generación del initramfs: la herramienta dracut ha sido sustituida por dracut‑ng, después de que el proyecto original quedara abandonado por parte de su mantenedor principal. Este movimiento busca garantizar el mantenimiento a largo plazo y una mayor capacidad de adaptación a futuros cambios en la plataforma.

Además, el demonio D‑Bus se ejecuta ahora por defecto en IPFire, lo que prepara el terreno para futuras mejoras y nuevas características que puedan aprovechar este bus de comunicaciones interno. Este tipo de ajustes no siempre se perciben a primera vista, pero suelen ser esenciales para ir incorporando funcionalidades más avanzadas sin comprometer la estabilidad.

Refuerzo del sistema de prevención de intrusiones (IPS)

En el apartado de seguridad, IPFire 2.29 Core Update 199 actualiza el motor de su sistema de prevención de intrusiones a Suricata 8.0.2. Esta versión introduce correcciones relacionadas con el manejo de alertas y el comportamiento del sistema de informes, elementos críticos para equipos de seguridad que dependen de estos datos para reaccionar ante incidentes.

La planificación de los informes del IPS también se ha ajustado, de modo que los reportes se envían siempre a la 1 de la madrugada. Esta decisión busca homogeneizar y simplificar las tareas de revisión diaria, permitiendo una rutina más predecible para equipos que analizan eventos fuera del horario laboral habitual.

Asimismo, se ha resuelto un problema por el que la nueva funcionalidad de informes podía perder algunas alertas cuando la base de datos SQLite interna estaba ocupada. Esta corrección es especialmente relevante para organizaciones que necesitan un registro lo más completo posible de los eventos de seguridad, ya que reduce el riesgo de que determinadas actividades sospechosas pasen inadvertidas en escenarios de alta carga.

Mejoras en OpenVPN y conectividad remota

IPFire es ampliamente utilizado para conexiones VPN de acceso remoto y de sitio a sitio, por lo que el proyecto también ha introducido cambios en su implementación de OpenVPN. Entre las novedades, destaca la posibilidad de enviar a los clientes múltiples servidores DNS y WINS, lo que facilita configuraciones más flexibles para resolver nombres en redes con distintos dominios internos.

El servidor OpenVPN ahora puede operar en modo multi‑home de forma permanente, lo que resulta útil en casos en los que el cortafuegos dispone de varias interfaces WAN o rutas de salida, algo habitual en empresas que combinan diferentes proveedores de conectividad para ganar resiliencia.

Además, se ha eliminado de los ficheros de configuración de cliente la directiva auth-nocache, considerada ineficaz en este contexto. También se ha solucionado un problema que podía impedir que la primera ruta personalizada definida por el administrador se distribuyera correctamente a los clientes, evitando así comportamientos inesperados en topologías más complejas.

Ajustes en la interfaz web y en la gestión operativa

La interfaz de administración vía navegador, pieza clave para el día a día de muchos técnicos, incorpora varias mejoras para hacerla más clara y fiable. Se ha afinado el mensaje de notificación que aparece cuando el sistema no es compatible con SMT (Simultaneous Multithreading), de forma que el administrador recibe una explicación más precisa de esta limitación de hardware.

En la sección de correo, IPFire 2.29 Core Update 199 mejora el manejo de credenciales que incluyen caracteres especiales, lo que reduce incidencias al configurar sistemas de notificación o envío de alertas vía email. Este tipo de detalles suelen ser frecuentes en entornos corporativos donde se aplican políticas de contraseñas complejas.

También se ha corregido un fallo que impedía crear nuevos grupos de ubicación en la página del cortafuegos, un elemento importante a la hora de organizar reglas por regiones, rangos de IP o distintas zonas de seguridad. Para administradores que segmentan el tráfico en función de la procedencia geográfica o de la función de cada red, esta corrección simplifica la gestión y evita tener que recurrir a soluciones de compromiso.

Mitigaciones de seguridad en el proxy y corrección de condiciones de carrera

En el ámbito del proxy, la nueva versión incluye una mitigación específica para la vulnerabilidad identificada como CVE‑2025‑62168. Esta medida refuerza la protección frente a posibles ataques que aprovechen este vector, un punto a tener en cuenta para organizaciones que usan el proxy de IPFire como componente central de filtrado de tráfico web.

Se han solventado también varias condiciones de carrera que podían generar comportamientos erráticos. Una de ellas podía provocar la finalización forzosa del proceso de filtrado de URLs durante la compilación de las bases de datos, lo que impactaba directamente en la capacidad de bloqueo de sitios no deseados o maliciosos.

Otra condición de carrera corregida afectaba a la aplicación de las reglas de firewall, permitiendo que reglas ya aplicadas se eliminaran cuando se insertaba otra nueva. Este tipo de errores son especialmente delicados, ya que pueden dejar brechas temporales en la política de seguridad de la red si no se detectan a tiempo, por lo que su solución supone un avance importante en la fiabilidad operativa.

Actualización de paquetes y componentes clave

Además de los cambios funcionales, IPFire 2.29 Core Update 199 incorpora una actualización masiva de paquetes y complementos. Entre las versiones destacadas se encuentran FFmpeg 8.0 para procesamiento multimedia, ClamAV 1.5.1 como motor antivirus, GNU nano 8.7 como editor de texto, Samba 4.23.2 para servicios de archivos e impresión en entornos mixtos y Tor 0.4.8.19 para comunicaciones anónimas.

En el ámbito de red y seguridad, la actualización incluye Fetchmail 6.5.7, cURL 8.17.0, OpenSSL 3.6, SQLite 3.51.0, OpenLDAP 2.6.10, OpenSSH 10.2p1 y BIND 9.20.16, entre otros. Estas versiones incorporan a su vez sus propias correcciones de seguridad y mejoras de rendimiento, lo cual es especialmente relevante para organizaciones que deben cumplir con normativas y buenas prácticas en materia de actualización de software.

El conjunto de complementos se amplía con nuevas herramientas, incluyendo dma, un utilitario diseñado para crear buzones locales. Este tipo de adiciones permiten adaptar IPFire mejor a entornos donde se requiere registrar y distribuir notificaciones o mensajes a nivel interno sin necesidad de desplegar soluciones de correo más pesadas.

Disponibilidad y opciones de instalación para distintas arquitecturas

IPFire 2.29 Core Update 199 ya se puede descargar desde la web oficial del proyecto en formato de imagen ISO y USB. El equipo mantiene soporte para arquitecturas x86_64 (64 bits) y AArch64 (ARM64), lo que abre la puerta a su despliegue tanto en servidores y appliances tradicionales como en plataformas basadas en ARM que están ganando terreno en Europa, especialmente en entornos de bajo consumo o dispositivos dedicados.

Para quienes ya utilizan IPFire en producción, la actualización forma parte del canal habitual de Core Updates, por lo que puede aplicarse siguiendo los procedimientos estándar de la distribución. No obstante, como en cualquier cambio de versión importante, se recomienda realizar copias de seguridad de la configuración y planificar una ventana de mantenimiento adecuada para minimizar el impacto sobre los usuarios finales.

En el caso de nuevas instalaciones, la disponibilidad de imágenes preparadas para distintos soportes facilita la tarea de probar IPFire en laboratorios, pequeñas oficinas o despliegues piloto antes de integrarlo plenamente en infraestructuras críticas de red.

Con este paquete de cambios, IPFire 2.29 Core Update 199 se consolida como una opción más madura para actuar como cortafuegos y router en redes modernas, combinando soporte para Wi‑Fi de última generación, refuerzos en el sistema de prevención de intrusiones, mitigaciones de seguridad en el proxy y una amplia renovación de componentes clave, todo ello orientado a ofrecer una plataforma más estable y preparada para las necesidades actuales de ciberseguridad en España y en el resto de Europa.