Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[Gobi]

Tais olla rev 2 tuo mun vekotin, ja tykkään pfsensestä ja sen mahdollisuuksista.
Täytyy varmaan asentaa pfsense sitten johonkin äkäsempään ser-rautaan.

Esim. tästä:

https://www.backmarket.fi/fi-fi/p/h...-gb/47e5f648-2967-4d00-9ff6-0650f7932168?l=10

i5-6500 riittää helposti OPNSense/pfSense käyttöön ja tuohon saa matalan 4-porttisen verkkokortin kiinni.

 

[prof]

Esim. tästä:

https://www.backmarket.fi/fi-fi/p/h...-gb/47e5f648-2967-4d00-9ff6-0650f7932168?l=10

i5-6500 riittää helposti OPNSense/pfSense käyttöön ja tuohon saa matalan 4-porttisen verkkokortin kiinni.

Mulla on tuommonen ja sit toinen vähän vanhempi i5 olisko ollu jotain 4000 sarjaa. En millään muista oliko HP vai Dell mutta tommosia pikkusia SER-koneita.
ja löytyy 2x niihin menevää realtekin verkkokorttia, nehän on vähän ongelmallisia kuulemma mutta toisessa ajelin pfsenseä joskus ja ei mitään ongelmaa, vaihdoin vaan tohon sophosiin kun oli äänetön ja pienempi + tarvin koneen proxmox viritykseen.

 

[user9999]

Pfsense 25.11 Plus versioon julkaistu System_Patches 2.2.25. En tiedä onko tuota muihin versiohin.

 

[SamCer]

Pfsense 25.11 Plus versioon julkaistu System_Patches 2.2.25. En tiedä onko tuota muihin versiohin.

Ei näytä tulleen CE-versioon, vaan se pysyy edelleen .24-versiossa, ainakin toistaiseksi.

[edit] Noi samat patchit näyttää tulleen jo tuossa .24-versiossa CE:lle.

 

[MOS6510]

Sophos Firewallin versio 22 on julkaistu:

https://community.sophos.com/sophos-xg-firewall/b/blog/posts/sophos-firewall-v22-is-now-available

Home Edition on edelleen ilmainen. Sophos on ollut kerrassaan huoleton kotimuurina: Oma edellinen asennus on toiminut vuodesta 2018 tähän päivään asti ilman ensimmäistäkään uudelleenasennusta Fitlet 2:lla. Vain versiopäivityksiä on tehty yhtä nappulaa käyttöliittymästä klikkailemalla muutaman kerran vuodessa. V22 vaatii suuremmat osiot ja siksi sen joutuu asentamaan kokonaan uudelleen (vaihdan samalla alustan Fitlet 3:een). Asetukset saa tietysti siirrettyä vanhasta palauttamalla varmistuksen.

Sophos Firewall v22:n tärkein uusi juttu kotikäyttäjälle on se, että muurin Linux Kernel on vihdoin uusittu jotakuinkin ajantasaiseen versioon ja verkkokorttien tuki on parantunut olennaisesti. Intelin 2.5 Gbps verkkokortit toimivat nyt suoraan - aikaisemmin piti kikkailla tekemällä muuri virtuaaliseksi esim. Proxmoxin päälle.

 

[vesas]

Vaihteeksi Openwrt kokemuksia. Alustana siis Nanopi R5C. Noin parivuotta tullut tällä nyt täyteen ja yhtään palomuurin aiheuttamaa katkoa ei ole tullut vastaan. Päivitin nyt lopulta 24-sarjalaiseen. Openwrt päivitys sujuu nykyään parillakin metodilla, itse suosin Firmware selectorin custon paketin tekoa. Tuossahan siis Openwrt serveri kääntää halutulla pakettilistalla olevan flash imagen. Näin päivitypaketti on tallessa jos tulee uudelleenasennustarvetta ja siinä on sisällä valmiiksi kaikki tarvittava. Päivitys menee tuolla myös simppelisti, eli asetukset säilyy ja kaikki toiminnot on valmiiksi asennettuna.

Oma kuituyhteys päivittyi gigaiseksi kun tuli hyvä tarjous. Samalla pääsi eroon SQM-Cake:sta koska oma lähiverkko on myös gigainen. Ajoin myös nopeustestit R5C:llä ja sen CPU loppuu SQM-Cake kanssa noin 800M nopeuteen. Joten R5C:tä ei voi suositella jos joutuu Cake:a ajamaan. Kuitu näyttää tarjoavan ruuhkatta tuon giagaisen yhteyden ja bufferbloat testi antaa ilman Cake:a yhteydelle A+:san.

Eli jos etsii virtapihiä peruspalomuuria johon saa wireguardin yms. niin R5C on ok. SQM kanssa soveltuu 500M yhteyksiin saakka. Tämä siis toimii 5W usb-c laturilla eikä vaadi aktiivista jäähdytystä.

edit:
Pitäisi aina lukea ohjeita, Openwrt 24 sarjassa on parempi tuki verkkorajapinnan monisäikeistykselle. Kun laittoi packet steering: all CPUs asetuksen päälle niin nyt SQM cake riittää gigaiselle kuidulle:

 

[ristokoo]

Vaihteeksi Openwrt kokemuksia. Alustana siis Nanopi R5C.

Kysymys @vesas tai muut jotka Nanopi:ta käyttää: jos tuollaisen haluaa, mistä kannattaa ostaa? friendlyelec.com näyttää ainakin myyvän Suomeen, hintaa ilmeisesti tulisi luokkaa 100 dollaria + verot. Saako jostain halvemmalla, ja onko Euroopassa Suomeen toimittavaa verkkokauppaa?

 

[vesas]

Kysymys @vesas tai muut jotka Nanopi:ta käyttää: jos tuollaisen haluaa, mistä kannattaa ostaa? friendlyelec.com näyttää ainakin myyvän Suomeen, hintaa ilmeisesti tulisi luokkaa 100 dollaria + verot. Saako jostain halvemmalla, ja onko Euroopassa Suomeen toimittavaa verkkokauppaa?

Aikoinaan kun katselin niin omani ostin Aliexpressin kautta, heillä oli halvin posti ja jokin tarjouskuponki. Friendlyelec oma verkkokauppa oli vaihtoehto mutta heillä oli kalliimmat postit. Eli kannattaa vertailla eri jälleenmyyjiä. Ali:n ja muutaman muun verkkokaupan tuotteet tulee valmiiksi tullattuna ja verot maksettuna, eli kannattaa tuokin osuus tarkasta.

 

[vesas]

NanoPI:n laitteista pitää sitten huomata että sitä myydään eri kokoonpanoilla, eli on saatavilla kotelolla, ilman koteloa, wifi optiolla ja parilla eri muistimäärällä. Jos Openwrt:tä tuohon R5C:hen aikoo niin sekä 2G että 4G ram on taatusti riittävä, tuosta loppuu ensin CPU teho kuin muisti.

 

[user9999]

Pfsense System_Patches 2.2.26 julkaistu pfSense Plus 25.11, pfSense Plus 25.07.1 ja pfSense CE 2.8.1 versioihin.

Security Advisory: Potential remote command execution via DNSSL router advertisement messages

On December 16, 2025, FreeBSD® published a security advisory for a remote command execution vulnerability in rtsold.

www.netgate.com

 

[SamCer]

Pfsense System_Patches 2.2.26 julkaistu pfSense Plus 25.11, pfSense Plus 25.07.1 ja pfSense CE 2.8.1 versioihin.

Security Advisory: Potential remote command execution via DNSSL router advertisement messages

On December 16, 2025, FreeBSD® published a security advisory for a remote command execution vulnerability in rtsold.

www.netgate.com

CE:ssä oli tosiaan päivitys tullut tuohon, mutta verso muuttui .24 -> .25. Kyseessä siis CE 2.8.1.

Mites muilla CE:n käyttäjillä? Mikä versio teillä on tuosta System_Patches-paketista kun se on täysin päivitetty?

 

[SamCer]

Pistän tän erikseen kun kyseessä eri asia:

Acme-client pfSensessä on näköjään siirtynyt käyttämään DoH-palvelimia resolvaukseen kun Let's Encrypt-certtiä asetetaan/uusitaan, joka aiheutti itselle ongelmia kun olen blokannut pfBlockerNG:ssä kaikki tunnetut DoH/DoT/DoQ-serverit, jonka vuoksi certin uusinta epäonnistui. Tuota käytöstä ei pysty, ainakaan versiossa 1.0.3, muuttamaan GUI:sta (tai no pystyy, mutta epäselvällä tavalla), mutta ongelma ratkesi kasvattamalla DNS-Sleep-arvon 180:n sekuntiin. Tuon vinkin sain ChatGPT:ltä ja se perusteli sitä näin:

Ratkaisu 2: Ohita DoH täysin nostamalla DNS Sleep​

Toimii usein Cloudflaren kanssa.

ACME Certificate:

• DNS Sleep: 180

Tällöin:

• TXT lisätään
• acme.sh ei jää jumiin DoH-tarkistukseen
• LE tarkistaa itse TXT:n

Ei 100 % varma kaikissa verkoissa, mutta usein riittävä.

Tuli vastaan tälläinen ketju aiheesta: ACME renewal timeout and "No doh"

Jos nyt oikein ymmärsin, niin tuon DNS Sleep-arvon voisi myös pistää lyhyemmäksikin ja tuon arvon lisäys ottaa tuon DoH-tarkistuksen pois käytöstä?

 

[JiiPee]

Jos nyt oikein ymmärsin, niin tuon DNS Sleep-arvon voisi myös pistää lyhyemmäksikin ja tuon arvon lisäys ottaa tuon DoH-tarkistuksen pois käytöstä?

Kyllä sen noin voipi tulkita että silloin kun ton sleep arvon asetat niin DoH lakkaa toimimasta ja query tehdään määritellyn ajan kuluttua suoraan domainin dns servereiltä.

EDIT: Omasta kokemuksesta sitä tsekkauksen pyyntöä ei kannata laittaa liian matalaksi taikka muuten voi käydä niin että LE tekee tarkistuksen joltain orjalta joka ei ole vielä ehtinyt päivittää. Välillä noi orjat käyttäytyy hiukan vaihtelevasti, varsinkin jos ajelee jotain kolmannen osapuolen orjaa.

Nyt Heznerin orjat käy päivitykset hakees suht rivakasti, mutta aiemmin kun mulla oli OVH niin niiden orja ei kyllä reagoinut notifyyn juurikaan.

 

[user9999]

PfSense Plus Software Version 25.11.1 julkaistu.

Netgate Releases pfSense Plus Software Version 25.11.1

Netgate® announces the release of pfSense Plus software version 25.11.1. This maintenance software release contains over 26 fixes and improvements. All pfSense Plus users are encouraged to upgrade to this new version.

www.netgate.com

 

[Khauron]

pfSenseen julkaistu System Patches 2.2.27. 25.11.1:een toi kaksi patchia:

Fix missing system logs from daemon facility(Redmine #16682)
Fix input validation when saving empty VIP addresses(Redmine #16610)

 

[Khauron]

Ja heti perään tuli System Patches 2.2.28. 25.11.1:een kaksi uutta patchia:

Fix population of Certificate Manager CA trust store entries(Redmine #16688)
Fix Dynamic DNS preference for certificate trust in custom entries without a username(Redmine #16690)

 

[Pörkyle]

Uusin IPFire päivitys toi mukanaan IPFire Domain Blocklistin sekä uudempaa kerneliä.

www.ipfire.org - IPFire 2.29 - Core Update 200 released

www.ipfire.org

We are excited for the final release of IPFire 2.29 - Core Update 200. This release ships with Linux kernel 6.18 LTS, an exciting preview of IPFire DBL (our new domain blocklist system), numerous package updates, performance improvements, security fixes, and plenty of general awesomeness throughout. As we mark this 200th update milestone, we extend our heartfelt thanks to our community whose continued support makes it all possible — we hope this release reflects the care and dedication we've poured into it.

Help Us Build the DNS Firewall — A Call for Community Support​

IPFire DBL, previewed in this release, is the foundation of something much bigger. As we have previously announced, our next major milestone is a fully integrated DNS Firewall — bringing modern, native content filtering to IPFire, making it the only tool your network needs to block advertising, malware, and unwanted content at the DNS layer.

If this is a vision you share, please consider supporting its development with a donation. Every contribution brings us closer to making it a reality.

Kernel 6.18​

The IPFire kernel has been rebased on Linux 6.18.7. This new long-term supported release brings various security, performance and stability improvements. This update brings general improvements to network throughput and latency, enhanced packet filtering capabilities, and the latest hardware security mitigations.

Furthermore, the Linux developers have deprecated support for ReiserFS. If your IPFire installation is running on this filesystem, you will have seen a note on the web user interface for some time and you won't be able to install the update. Instead you will have to re-install using IPFire with a supported file system.

IPFire Domain Blocklist​

Since the infamous Shalla list has been retired, the IPFire web proxy has been in need of a stable source of domains to block if you wish to filter any malware, social networks or adult content from your network. Due to the lack of good sources, and the general desire to provide a solid domain block list to our users, we have now started our own. It is in its baby stages right now and we will have a lot of excitement to share about this in the near future, but for now it will be available in two places:

• URL Filter: You can now use IPFire DBL to block any access through the proxy
• Suricata: With launching IPFire DBL, we are now becoming a Suricata rules provider, too. With the new database, you will be able to block any access to banned sites even more thoroughly by allowing the IPS to perform deep packet inspection on DNS/TLS/HTTP/QUIC connections.

This is currently in an early beta stage and we are happy to receive your feedback and support.

Misc.​

• Intrusion Prevention System
  • In the last update, it was introduced that Suricata could store signatures in a pre-compiled cache. That cache grew without bounds and could consume significant disk space. In this update, we back ported a patch so that Suricata will automatically cleanup any unused signatures.
  • The reporter has been updated to include additional information for any alerts using DNS, HTTP, TLS, or QUIC where the hostname and more information will be shown in the alert emails or PDF reports. This will help admins to further investigate any corporate policy violations.
• OpenVPN
  • The client configuration will no longer include the MTU. Instead, it will be pushed by the server so that the admin has the liberty to change it later. Some older clients might not support this change.
  • Likewise, the OTP auth token will be pushed by the server if the client has OTP enabled.
  • The client configuration files will no longer include the CA as it is already included in the PKCS12 container. This caused problems when importing connections using NetworkManager on command line.
• Wireless Access Point
  • Support for 802.11a/g has been re-introduced
  • Unintentionally, hostapd could log a lot of debugging information if debugging was enabled before
  • PSK values that include any special characters will now be accepted
• Unbound, the IPFire DNS Proxy, will now launch one thread per CPU code. Formerly it used to run single-threaded, but we expect quicker response times from launching multiple concurrent threads.
• PPP: IPFire will now only send LCP keep alive packets when there is no traffic. This will slightly save on overhead on DSL and 5G/4G connections.
• UI
  • The DNS page will now consistently show the legend.
• OpenSSL has been update to version 3.6.1 and patches against the following vulnerabilities: CVE-2025-11187, CVE-2025-15467, CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795, CVE-2026-22796.
• glibc has been patched against CVE-2026-0861, CVE-2026-0915 and CVE-2025-15281
• Updated packages - and as usual, it is a lot: Apache 2.4.66, bash 5.3p9, BIND 9.20.18, coreutils 9.9, cURL 8.18.0, elinks 0.19.0, glib 2.87.0, GnuPG 2.4.9, GnuTLS 3.8.11, harfbuzz 12.3.0, hwdata 0.403, iana-etc 20251215, intel-microcode 20251111, libarchive 3.8.5, libcap-ng 0.9, libgpg-error 1.58, libidn2 2.3.8, libjpeg 3.1.3, libpcap 1.10.6, libplist 2.7.0, libpng 1.6.53, libtasn1 4.21.0, liburcu 0.15.5, libxcrypt 4.5.1, LVM2 2.03.38, mdadm 4.5, memtest 8.00, meson 1.10.1, newt 0.52.25, ninja 1.13.2, oath-toolkit 2.6.13, OpenVPN 2.6.17, OpenSSL 3.6.1, SQLite 3.51.100, tzdata 2025c, readline 8.3p3, strongSwan 6.0.4, suricata 8.0.3, suricata-reporter 0.6, Rust 1.92.0, Unbound 1.24.2, wireless-regdb 2025.10.07, vim 9.1.2098, xz 5.8.2
• Updated add-ons: alsa 1.2.15.3, ClamAV 1.5.1, dnsdist 2.0.2, fetchmail 6.6.0, gdb 17.1, Git 2.52.0, fort-validator 1.6.7, freeradius 3.2.8, libtpms 0.10.2, opus 1.6.1, postfix 3.10.6, samba 4.23.4, strace 6.18, tmux 3.6a, Tor 0.4.8.21, tshark 4.6.3

 

[SamCer]

pfSense CE:lle jaossa System_Patches 2.2.28 ja mukana tuli neljä uutta patchiä:

• Fix potential stored XSS in RSS Widget feed content (Redmine #16770, pfSense-SA-26_04.webgui)
• Fix potential stored XSS in ARP Table display with ISC DHCP (Redmine #16763, pfSense-SA-26_03.webgui)
• Fix potential authenticated command execution via Service Status (Redmine #16743, pfSense-SA-26_01.webgui)
• Fix potential stored XSS in Delegated Length value for Kea Prefix Delegation (Redmine #16744, pfSense-SA-26_02.webgui)

 

[Khauron]

pfSense Plus 26.03 julkaistu, ja sen mukana tulee tuo ym. System patches.

 

[bajamaja]

Onko joku täällä saanut DNA kaapelimodeemi (siltaavana) + pfsense kombolla ipv6 vakaasti toimimaan? Muilla reitittimillä toimii hienosti mutta pfsenseä en vaan kerta kaikkiaan saa pelaamaan kunnolla. Käynnistyksen yhteydessä tai interfacen resetin jälkeen IPV6 toimii hyvin tunnin tai pari kunnes se sitten lakkaa toimimasta. IPV4 toimii hienosti edelleen. Asetuksia on koitettu about kaikkia mahdollisia eri komboja

 

[Boromir]

Onko joku täällä saanut DNA kaapelimodeemi (siltaavana) + pfsense kombolla ipv6 vakaasti toimimaan? Muilla reitittimillä toimii hienosti mutta pfsenseä en vaan kerta kaikkiaan saa pelaamaan kunnolla. Käynnistyksen yhteydessä tai interfacen resetin jälkeen IPV6 toimii hyvin tunnin tai pari kunnes se sitten lakkaa toimimasta. IPV4 toimii hienosti edelleen. Asetuksia on koitettu about kaikkia mahdollisia eri komboja

Sama kombo ollut ongelmitta käytössä 5 vuotta näillä asetuksilla:

System => Advanced => Networking => Allow IPv6 -asetus päälle

Interfaces => WAN: Seuraavat asetukset sivulta päälle:
    IPv6 Configuration Type => DHCP6
    DHCPv6 Prefix Delegation size => 56
    Send IPv6 prefix hint => päälle
    Block bogon networks => pois päältä

Interfaces => LAN: Seuraavat asetukset sivulta päälle:
    IPv6 Configuration Type => Track Interface
    IPv6 Interface => WAN
    IPv6 Prefix ID => 0

Services => DHCPv6 Server & RA => Router Advertisements
    Router mode => Assisted - RA Flags
    Router priority => Normal

 

[pruuno]

Hiukan apuja kaipailisin rautapalomuurin kanssa. Eli koneena toimii tällä hetkellä lenovo m720q, 8500t prosessorilla sekä verkkokortti jossa 2.5gb X 2 liitännät. Muistaakseni intelin aliexpress verkkokortti kyseessä. Tarkoituksena olisi saada yhdistettyä lounean verkossa oleva kuitu suoraan seinästä palomuuriin. Kuitu on kuitenkin yhdistyksen kautta ja ilmeisesti varsinaisia laite rajoituksia ei pitäisi olla koska tälläkin hetkellä käytössä tp-linkin media muunnin MC220L joka toimii. Olen katellut verkkokortiksi intelin x710 da2 mallia, jossa kaksi sfp+ liitäntää olisi tarjolla sekä lämpötilojen pitäisi edes suhtkoht olla järkeviä. Onko jotakin kriittisiä asioita mitä pitäisi ottaa huomioon tässä asiassa? Ilmeisesti x710 verkkokortti pitäisi unlockata jotta toisten valmistajien sfp liittimet toimisi? Käytössä on myös kytkin johon saan suoraan vedettyä sfp+ kaapelin lenovon koneelta joten yhtäkään rj45 adapteria ei olisi tulossa väliin. Vielä mainittakoon että kuitu tulee yhdellä kuitu johdolla kiinni sfp sfp palikkaan.

 

[Khauron]

Hiukan apuja kaipailisin rautapalomuurin kanssa. Eli koneena toimii tällä hetkellä lenovo m720q, 8500t prosessorilla sekä verkkokortti jossa 2.5gb X 2 liitännät. Muistaakseni intelin aliexpress verkkokortti kyseessä. Tarkoituksena olisi saada yhdistettyä lounean verkossa oleva kuitu suoraan seinästä palomuuriin. Kuitu on kuitenkin yhdistyksen kautta ja ilmeisesti varsinaisia laite rajoituksia ei pitäisi olla koska tälläkin hetkellä käytössä tp-linkin media muunnin MC220L joka toimii. Olen katellut verkkokortiksi intelin x710 da2 mallia, jossa kaksi sfp+ liitäntää olisi tarjolla sekä lämpötilojen pitäisi edes suhtkoht olla järkeviä. Onko jotakin kriittisiä asioita mitä pitäisi ottaa huomioon tässä asiassa? Ilmeisesti x710 verkkokortti pitäisi unlockata jotta toisten valmistajien sfp liittimet toimisi? Käytössä on myös kytkin johon saan suoraan vedettyä sfp+ kaapelin lenovon koneelta joten yhtäkään rj45 adapteria ei olisi tulossa väliin. Vielä mainittakoon että kuitu tulee yhdellä kuitu johdolla kiinni sfp sfp palikkaan.

Et halua siis käyttää tuota mediamuunninta lainkaan? Koska...?
Sillähän saisit kuitu --> ethernet --> tietokoneen toinen verkkoportti suoraan. Ja jos on pelkkä mediamuunnin, niin se ei tee mitään temppujaan, ainoastaan muuntaa kuidun ethernetiksi.

 

[pruuno]

Et halua siis käyttää tuota mediamuunninta lainkaan? Koska...?
Sillähän saisit kuitu --> ethernet --> tietokoneen toinen verkkoportti suoraan. Ja jos on pelkkä mediamuunnin, niin se ei tee mitään temppujaan, ainoastaan muuntaa kuidun ethernetiksi.

Mitä olen ymmärtänyt niin nuo tuppaavat olemaan aika epäluotettavia. Yhteyksissä on jonkinverran ongelmia nopeuden suhteen ollut sekä välillä saattaa pätkästä. Myös yksi rikkoutuva laite olisi vähemmän jolloin saisi suoraviivaisemmaksi nykyistä setuppia.

 

[Pakana]

Mitä olen ymmärtänyt niin nuo tuppaavat olemaan aika epäluotettavia. Yhteyksissä on jonkinverran ongelmia nopeuden suhteen ollut sekä välillä saattaa pätkästä. Myös yksi rikkoutuva laite olisi vähemmän jolloin saisi suoraviivaisemmaksi nykyistä setuppia.

Kyllähän se sfp palikkakin on vaan mediamuunnin.

Toki kyllähän siitä setupista kliinimpi noin tulee.

 

[Pörkyle]

IPFiren uusimmassa päivityksessä tulee DNS Firewall ominaisuus. Olihan se aikakin siirtyä jo nykyaikaan.

www.ipfire.org - IPFire 2.29 - Core Update 201 released - with DNS Firewall

www.ipfire.org

We are pleased to announce the release of IPFire 2.29 — Core Update 201, and with it, the most significant expansion of IPFire's capabilities in years. This release delivers the long-awaited DNS Firewall, a feature that transforms how IPFire protects the networks it sits in front of — along with a major toolchain rebase, a wide range of package updates, and improvements across the entire system.


For many of you, this is the release you have been waiting for. For the rest of you — once you see what it does, it will be.

Hello DNS Firewall​

The wait is over. One of the most requested features in IPFire's history is finally here, and it fundamentally changes what your firewall is capable of. The DNS Firewall transforms IPFire from a network gatekeeper into an active threat eliminator — blocking malware, phishing, advertising, and unwanted content before a single byte of malicious data ever touches your network.


For full details, see the DNS Firewall documentation and the DNS Firewall roadmap page.

How it works​

Every device on your network resolves domain names through IPFire's DNS proxy. The DNS Firewall sits inside that pipeline and evaluates every query against IPFire DBL — our own curated, continuously updated domain blocklist — before a response ever reaches the client. Blocked domains receive an NXDOMAIN response: to the client, the domain simply does not exist. No connection is attempted, no content is fetched, and no trace of the request leaves your network.


As a first to offer this to a large user-base, blocklist updates are delivered via IXFR — incremental DNS zone transfers directly into the DNS proxy — meaning your lists are refreshed within the hour, automatically, with no manual intervention and minimal bandwidth overhead.

Goodbye URL Filter. Goodbye Pi-hole.​

If you have been running the URL Filter, you already understand the frustration: clients need explicit proxy configuration, HTTPS inspection is a minefield, and the entire approach was designed for a web that no longer exists. If you have been running a Pi-hole alongside IPFire to compensate, you have been maintaining a second device, a second software stack, and a second security boundary — all to do something your firewall should have been doing all along.


The DNS Firewall replaces both. It requires no client configuration, no additional hardware, and no compromises. Your firewall is already the single point through which all DNS traffic flows — it has always been the right place for this.

Miscellaneous Improvements​

• Intrusion Prevention System It is now possible to configure different recipients for daily, weekly, and monthly IDS reports — useful for teams where different people are responsible for different reporting cadences.
• RISC-V Arne.F has updated the kernel configuration on the experimental build for RISC-V devices.
• Network Installer The installer now allocates more disk space when booting from the network, accommodating the increased size of the ISO download.
• Rust Cleanup Stefan Schantl has removed Rust packages that were no longer needed in the distribution, reducing build overhead and attack surface.
• Web Proxy Firewall Rules Rules are now created with the --wait flag, preventing race conditions during rule insertion.
• Toolchain Update IPFire has been rebased on the latest versions of glibc 2.43 and GNU binutils 2.46.0. These are the fundamental libraries and binary tools that underpin all userspace components inside IPFire. Keeping them current ensures better hardware support, improved security hardening, and a solid foundation for all packages built on top of them.
• The following packages have been updated in this release: asciidoctor 2.0.26, BIND 9.20.20, binutils 2.46.0, ccache 4.12.3, conntrack-tools 1.4.9, coreutils 9.10, dejagnu 1.6.3, expat 2.7.4, fuse 3.18.1, gettext 1.0, glibc 2.43, harfbuzz 12.3.2, hwdata 0.404, intel-microcode 20260210, iptables 1.8.12, jansson 2.15.0, krb5 1.22.1, less 692, libgcrypt 1.12.0, libnetfilter_conntrack 1.1.1, libpng 1.6.55, libtalloc 2.4.4, libuv 1.52.0, libxcrypt 4.5.2, m4 1.4.21, ncurses 6.6, OpenVPN 2.6.19, OpenSSL 3.6.1, p11-kit 0.26.2, PAM 1.7.2, procps 4.0.6, Ruby 4.0.1, suricata-reporter 0.7, vim 9.1.2147, wireless-regdb 2026.02.04, xfsprogs 6.18.0, zlib-ng 2.3.3

Add-ons​

• Wireless Access Point
  • The description for the Neighbourhood Scan was previously inverted and has been corrected.
  • Adolf Belka has contributed a Dutch translation for this package.
• Updated Add-on Packages: ddrescue 1.30, fping 5.5, Git 2.53.0, minicom 2.11, nano 8.7.1, nfs 2.8.5, Postfix 3.10.7, Samba 4.23.5, tshark 4.6.4
• The 7zip package has been removed from the add-on collection. The upstream project is no longer maintained, and continuing to ship unmaintained software is not consistent with IPFire's security posture.

---

This release is the product of years of work — from building IPFire DBL into a category-rich, continuously maintained blocklist, to engineering IXFR-based delivery straight into the DNS proxy, to the countless smaller improvements that make it all tie together. Our thanks go to every developer, tester, and community member who helped get us here, and in particular to those who ran the testing release and sent us the feedback that made this stable release possible.


Please install this update through Pakfire as usual. As with every Core Update, we recommend rebooting after installation to ensure all components are running the new versions.


If you find a problem, please report it on the IPFire community forum or the bug tracker. And if IPFire is useful to you, please consider supporting the project — it is what keeps releases like this one possible.