FreeBSD México

Comunidad Mexicana de FreeBSD

pfSense 2.0.2 Release Disponible Ahora!

Este anuncio es una traducción del sitio: http://blog.pfsense.org/?p=676 escrito por Chris Buechler el Viernes, 21 de Diciembre de 2012 a las  10:29 am

pfSense 2.0.2 es una liberación de mantenimiento con algunas correcciones de bugs y de seguridad desde la liberación 2.0.1 release. Se puede actualizar desde cualquier versión anterior a la 2.0.2.

Atención para aquellos que están actualizando

URL de Auto Update – Para aquellos actualizando desde releases previos, por favor asegúrense primero de que estan en la URL auto-update correcta. Decenas de miles de instalaciones fueron realizadas desde los snapshots 2.0 pre-release los cuales tenían su URL de actualización dirigida al servidor de snapshots en lugar del de los releases estables. Otros han configurado manualmente sus arquitecturas de forma incorrecta en algun punto de tal manera que sus actualizaciones fallaron. Solo se necesita navegar en la pestaña de configuración del actualizador System>Firmware. En el drop box de“Default Auto Update URLs”, y seleccionar la opción estable i386 o amd64 dependiendo de cual versión se tenga instalada, y de click en “Save” (Guardar). Y ahora se puede usar el auto-update y se puede estar seguro de que se descargará de la ubicación correcta.

Problema de servidor DNS asignado PPP – aquellos con WANs tipo PPP (PPP, PPPoE) usando servidores DNS asignados por sus ISP (Proveedores de Servicio de Internet) en lugar de los definidos bajo System>General Setup, Deben estar al tanto de que esos servidores DNS no serán usados. Hay dos alternativas para resolver esto detalladas aquí.

Avisos de Seguridad de FreeBSD

El sistema operativo Base se actualizó a 8.1-RELEASE-p13 para resolver los siguientes avisos de seguridad de FreeBSD:

  • NOTA: FreeBSD-SA-12:03.bind, FreeBSD-SA-12:05.bind, and FreeBSD-SA-12:06.bind no aplican para nosotros, dado que nosotros no usamos ni incluimos bind. FreeBSD-SA-12:08.linux no aplica para nosotros dado que nosotros no incluimos la capa de compatibilidad Linux de FreeBSD. FreeBSD-SA-12:02.crypt no aplica para nosotros porque no usamos DES en ese contexto.

PPTP

  • Se agregó una advertencia a la página de configuración PPTP VPN: PPTP ya no se considera una tecnología segura de VPN porque se basa en MS-CHAPv2 la cual ha sido comprometida. Si usted continúa usando PPTP este al tanto de que el tráfico interceptado puede ser desencriptado por un tercero, así que se deberá de considerar como no encriptado. Nosotros aconsejamos la migración a otro tipo de VPN tal como  OpenVPN o IPsec.
  • Se corrigió referencia al secreto compartido (share secret) del servidor RADIUS secundario PPTP.
  • Correcciones en la configuración de actualización PPTP 1.x a 2.x.

Cambios NTP

  • OpenNTPD fue eliminado en favor del daemon NTP de  ntp.org, usado por FreeBSD.
  • Se agregó página de Status en (Status > NTP) que muestra el estatus de sincronización del reloj
  • Corrección de Bitacora NTP.
  • NOTA: ntpd se enlazará/escuchará en todas las interfaces por defecto, y lo tiene que hacer para poder recibir réplicas. Se puede hacer un enlace selectivo de interface para controlar desde cual IP se aceptará tráfico, pero se debe estar consciente de que el comportamiento por defecto ha cambiado.

Arreglos del Tablero y Generales de la GUI

  • Se corrigieron varios errores de dedo, palabras, y así sucesivamente.
  • No redirecciona en estatus de widget.
  • No usa $pconfig en widgets, ya que tiene efectos colaterales no intencionales.
  • Se corrigió el desplegado de widgets en los controles de configuración en IE.
  • Se cambiaron algunos paneles/margenes en el CSS con la finalidad de evitar que el menu se deforme.
  • #2165 Cambió a embebido  para evitar que IE9 se comporte mal cuando  cargue la página del Gráfico de Tráfico

Correcciones de OpenVPN

  • Es más seguro para actualizaciones 1.2.3 asumir que la interface de OpenVPN == a cualquiera, dado que 1.2.3 no tiene manera de enlazarse a una interfase. De lo contrario, aquellos aceptando conexiones en las interfaces OPT en 1.2.3 se romperán al actualizar, hasta que la interface apropiada sea seleccionada en la GUI
  • No ignora cuando multiples servidores OpenVPN DNS, NTP, WINS, etc fueron especificados en 1.2.3 cuando se efectua la actualización. 1.2.3 esta separado por ;, y 2.x usa variables separadas.
  • Se corrigió código de actualización para 1.2.3 con interfaces asignadas OpenVPN.
  • Se arregló las configuraciones LZO para un OpenVPN actualizado (estaba activando la compresión incluso si en la antigua configuración estaba desactivado.)
  • Se hizo más inteligente cuando administraba conexiones OpenVPN clientes enlazadas a CARP VIPs. Si la interface esta en status BACKUP, no iniciará el cliente. Se agregó una seccion a rc.carpmaster y rc.carpbackup para activar este arranque/parada (start/stop). Si un cliente OpenVPN esta activo en ambos (tanto el maestro como el sistema de respaldo (backup)), ellos causarán conexiones en conflicto. Hay servidores que no les importa ésto debido a que sólo aceptan conexiones, y no inicializan envíos.

Correcciones IPsec

  • Solo se realiza por cada uno en IPsec p2 si se trata de un arreglo (array).
  • #2201 No permite una subred vacía en racoon.conf, esto produce errores de parseo.
  • #2201 Rechaza una interfase sin una subred como una fuente de red en la GUI de IPsec fase 2.
  • Agrega rutas incluso cuando IPsec esta en WAN, ya que la WAN pudiera no ser la pasarela por defecto (default gateway).
  • #1986 Despliegue de status de IPsec rediseñada y se preparó para contabilizar apropiadamente los clientes móviles.
  • Se corrigió un bug que causaba que el status de IPsec y widget se desplegara despacio cuando los clientes móviles era habilitados.

Correcciones de Administración de Usuario

  • #2066 Mejoró el agregar/eliminar de las cuentas de usuario en el sistema operativo subyacente, especialmente cuentas con nombres de usuario numéricos.
  • Inclusión del usuario admin en la sincronización de cuentas al momento del arranque
  • Se corrigio el permiso y el despliegue de certificado para el usuario admin
  • Se arregló la nota de la clave ssh para hacer referencia a DSA y no sólo a RSA dado que ambos funcionan.
  • Los caractéres “:” son inválidos en un campo de comentario, se filtran y se eliminan.
  • Cuando se renombra un usuario, se asegura que se remueva al usuario previo o se deja en  /etc/passwd.
  • #2326 No permite passwords vacíos dado que esto puede causar problemas con algunos servidores de autenticación como LDAP.

Se hicieron arreglos en el Portal Cautivo

  • Se toma en cuenta la tabla de ruteo cuando se configura cual dirección IP se usará para hablar con clientes CP.
  • Previene que los navegadores llenen automáticamente el nombre de usuario y el password en la configuración voucher, ya que ésto puede interferir con las configuraciones que esten siendo guardadas apropiadamente si la sincronía no esta completamente configurada, lo cual puede ocurrir accidentalmente.
  • Se corrigió el atributo de configuración Id. de Estación Llamada “Called-Station-Id” para que sea la misma en los paquetes STOP/START
  • Se corrigió el atributo de configuración Id. de Estación Llamada “Called-Station-Id” para que sea consistente con los datos enviados
  • #2082 Se corrigió la bitacora para que despliegue la información correcta sobre una sesión existente
  • #2052 Se eliminó la regla duplicada
  • Se arregló cual rol se va a escribir cuando se escribe la base de datos voucher activa
  • Siempre carga ipfw cuando se habilita CP para asegurar que los ganchos pfil esten configurados correctamente
  • #2378 Se arregló la selección de interfaces CP cuando se usa más de 10 interfaces opt.
  • Se fortaleció la aleatoriedad del voucher.

NAT/Reglas de Firewall/Correcciones de Alias

  • #2327 Se respeta el valor del checkbox  deshabilitar replica-a  “disable reply-to” por regla.
  • #1882 Se corrigió una regla pf invalida generada desde un reenvío de puerto con dest=any (destino=cualquiera) en una interfase con  ip=none (ip=ningúna)
  • #2163 Correcciones de Reflejo 1:1 para ruta estática de subredes y multiples subredes en la misma interfase.
  • Mejor validación en la entrada de URL de la tabla de alias para archivos descargados.
  • #2293 No se pone un espacio extra después de “pass” cuando se asume que es la acción por defecto o las pruebas posteriores fallarán en cumplir con ésto como regla de paso.
  • Se actualizó el texto de ayuda para los aliases de Host para indicar que las FQDNs son permitidas.
  • #2210 Se regresó a scrub (limpiar) en lugar de “scrub in” (limpiar e intervenir), el último rompe la inmovilización de MSS para el tráfico de egreso en la manera como se usa.
  • Se corrigió la preservación de la selección de interfaces en errores de entrada para reglas flotantes.
  • Se corrigió la caja de frecuencia de actualización de la tabla URL.
  • Se corrigió la validación de entrada para el reenvío de puertos, El puerto loca debe ser especificado.
  • Se agregó una configuración para incrementar el número máximo de tablas pf, y aumentó el valor por defecto a 3000.
  • Se determina apropiadamente la GUI activa y redirige los puertos para una regla de anti-bloqueo, para despliegue y para la regla actual.
  • Manejo de la carga de los limites de pf limits (tiempos, estados, tabla/limites de entrada, etc) en un archivo separado para evitar un escenario del huevo y la gallina donde los limites nunca deberían ser aumentados apropiadamente.

Correcciones de Interface/Puenteo

  • Se corrigió el chequeo de si un gif es parte de un puente, de tal forma que actualmente trabaja correctamente agregando un gif después de haberlo creado al momento del arranque (bootup)
  • Uso de las últimas funciones desde el módulo pfSense para obtener la lista de interfaces
  • Uso de las últimas funciones para el módulo pfSense para la creación de puentes
  • Se implemento is_jumbo_capable (es capáz de jumbo) como una manera de lograr mayor rendimiento. Esto debería ayudar con un gran número de interfaces
  • Dado que el nombre de la interface CARP cambió a “vipN” desde “carpN”, devd necesita seguir dicho cambio también.
  • #2242 Se muestra el protocolo lagg y la interfases miembro en  Status > Interfaces.
  • #2212 Detiene correctamente procesos dhclient cuando una interfase es cambiada independientemente desde  DHCP.
  • Arregó el uso de 3G SIM PIN para dispositivo Huawei
  • Obedece apropiadamente al MTU fijado en la página de la Interface para WANs tipo PPP.

Otras correcciones Miscelaneas

  • #2057 Se agregó un checkbox que deshabilita automáticamente la generación de reglas de negación para redes conectadas directamente y VPNs.
  • Se Marcó “Destination server” como un campo requerido por el Relay DHCP
  • Se Clarifican las trampas potenciales cuando se configura la frecuencia los parametros de sondeo y apagado.
  • Se agregó un acceso directo de shell a PHP para deshabilitar la verificación del referenciador  (playback disablereferercheck)
  • #2040 Se hizo que las tablas de estatus Inalámbricas sean ordenables
  • #2068 Se corrigió multiples claves en un archivo para las actualizaciones RFC2136 de dyndns.
  • Se verifica si el archivo pid existe antes de intentar matar el proceso
  • #2144 Se hizó más inteligente sobre como dividir un nombre sencillo de host en un  host/dominio.
  • Se agregó un pequeño script para desactivar APM en discos ATA si ellos claman que lo soportan. Dejarlo activado matará a los discos en el largo plazo, especialmente discos de laptops, por medio de generar ciclos de carga excesivos. El bit APM seguirá perisistiendo hasta que el drive se apague y encienda de nuevo, de tal forma que es necesario correrlo en cada booteo para asegurar.
  • #2158 Se cambió la opción del enlace SNMP para que trabaje con cualquier interface/VIP elegible. Si la antigua opción bindlan esta ahí, se asume que la interface lan es la que se enlazara.
  • Se arregló la referencia al secreto compartido (shared-secret) del servidor secundario RADIUS del PPTP.
  • #2147 Se agregó boton para descargar un .p12 de una clave de certificado (cert+key).
  • #2233 Recarga de nuevo la longitud de la clave en errores de entrada cuando se crea una solicitud firmada de certificado.
  • #2207 Se usa el formato de fecha del RFC 2822 de PHP, en lugar de intentar de usar una propia.
  • Se permitió especificar el nombre de la rama despues del URL del repositorio para argumentos de la línea de comando gitsync y se eliminó cualquier uso innecesario del operador backtick  (comilla inversa).
  • Se corrigió (enviar multiples eventos) send_multiple_events para que se conforme con el nuevo comportamiento de (estado del checado de recarga) check_reload_status
  • NO elimina las bitacoras (logs) en el reinicio en la instalación completa
  • Se asignó a la variable FCGI_CHILDREN a 0 dado que no tenía sentido para php el manejarse así mismo cuando lighttpd ya lo estaba haciendo. Para hacer posible el recuperarse del error interno 550.
  • Soporte para xmlrpcauthuser y xmlrpcauthpass en $g.
  • Se corrigió la carga de patrón de capa 7, el texto del boton check estaba incorrecto.
  • Se corrigió la construcción de la cola de modelado de tráfico (traffic shaping queue) para que no dependa de la mascara padre
  • #2239 Se agregó soporte de alias para rutas estáticas
  • Uso de  !empty en lugar de  isset para prevenir borrado accidental del último URL de repositorio utilizado cuando el las configuraciones de gitsync actualizadas por firmware hayan sido guardadas sin una URL de repositorio.
  • Mejor manejo de errores para crypt_data y tambien mejor manejo del argumento password
  • El servicio de Parada necesita esperar a que los procesos sean detenidos antes de intentar reiniciarlos.
  • Uso de una mejor URL de actualización por defecto
  • Se corrigió descripción faltante en rowhelper para paquetes.
  • #2402#1564 Movió el código stop_packages a una función, y llama a la función desde el shell script, y llama a la función directamente para el reinicio.
  • #1917 Se corrigió la lista de busqueda de dominio DHCP
  • Se actualizó Zona de Tiempo de la base de datos zoneinfo usando las últimas zonas desde FreeBSD
  • Se manejan HTTPOnly y Banderas Seguras (Secure flags) en cookies
  • Se corrigieron notificaciones para el progreso de actualización de firmware
  • Se eliminó una declaración inválida que considera  99.0.0.0/8 una dirección privada.
  • Se corrigió petición de redirección para IE8/9
  • #1049 Se corrigieron crashes en NanoBSD durante la eliminación/reinstalación de paquetes. Pudiendo resultar en que la GUI sea inaccesible después de la actualización del firmware.
  • Se corrigieron algunos problemas con la actualización de NanoBSD+VGA y NanoBSD+Generación de Imágen VGA
  • Se corrigieron algunos problemas actualizando desde sistemas con kernels antiguos de un solo procesador los cuales ya no existen.
  • Se corrigieron algunos vectores potenciales XSS/CSRF.
  • Se corrigió un problema cuando la página de login no muestra el tema elegido correcto en ciertas configuraciones.
  • Se corrigieron los limitadores+multi-wan (limiters+multi-wan)

Actualizaciones en el programa Binario/Soporte

  • Se efectuó limpieza para reducir el tamaño en general de la imágen
  • Se realizaron correcciones a la lectura y manejo del archivo de  ipfw-classifyd
  • Se actualizó miniupnpd
  • ISC DHCPD 4.2.4-P1
  • mdp5 actualizado a 5.6
  • pftop actualizado
  • lighttpd actualizado de 1.4.32, por motivo del CVE-2011-4362 y el CVE-2012-5533.

Información de Actualización

Como siempre, información en cuanto a la actualización puede ser encontrado en la Guía de Actualización.

Descargas

Las Descargas para nuevas instalaciones puede ser encontrada en los espejos indicados aquí.

Las descargas para actualizaciones pueden ser encontradas aquí.

Nota: algunos espejos (mirrors) aún estan sincronizando, tomará varias horas a partir de la publicación de este post para que esten completamente sincronizados.

Esta entrada fue posteada por  Chris Buechler el Viernes, 21 de Diciembre de 2012 a las 10:29 am

 

Nos leeremos en el siguiente artículo.

FreeBSD rulez!

Si esta información te resultó útil considera hacer una donación a mi cuenta de LiteCoin:

LTC:    LhyHJC2eXVCrwHKX1jnMuSHgSijW3XHX2j

_________________________

Eric De La Cruz Lugo, es Licenciado en Informática Administrativa (LIA) con especialidad en sistemas, egresado del Instituto Tecnológico y de Estudios Superiores de Occidente (ITESO), ha sido usuario de FreeBSD desde 1993 y de sistemas UNIX desde 1992, y de Linux desde 1997 (actualmente cuenta con certificación Linux+CompTIA) es profesor de asignatura de la Universidad Tecnológica Metropolitana en Mérida, Yucatán, donde administra servidores corriendo con FreeBSD que hospedan aplicaciones administrativas y la plataforma educativa en línea de la división de TIC (Tecnologías de la Información y Comunicación) de la Universidad. También brinda de forma independiente consultoría profesional a empresas e instituciones, e imparte cursos relacionados con UNIX, Linux y desde luego FreeBSD!, forma parte del equipo de traducción al español del sitio bsdcertification.org, así como Proofreader y betatester de artículos de la revista BSDMag editada en Polonia, que se puede leer mensualmente en bsdmag.org,  también es astrónomo amateur y asesor externo del Planetario Arcadio Poveda Ricalde de Mérida, Yucatán y esta felizmente casado con su amada esposa Marisol Alvarez, puede ser alcanzado en: eric_delacruz@yahoo.com y en eric@iteso.mx)

No Responses to “pfSense 2.0.2 Release Disponible Ahora!”

No comments have been made on this post



Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*