Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

[Gobi]

Tais olla rev 2 tuo mun vekotin, ja tykkään pfsensestä ja sen mahdollisuuksista.
Täytyy varmaan asentaa pfsense sitten johonkin äkäsempään ser-rautaan.

Esim. tästä:

https://www.backmarket.fi/fi-fi/p/h...-gb/47e5f648-2967-4d00-9ff6-0650f7932168?l=10

i5-6500 riittää helposti OPNSense/pfSense käyttöön ja tuohon saa matalan 4-porttisen verkkokortin kiinni.

 

[prof]

Esim. tästä:

https://www.backmarket.fi/fi-fi/p/h...-gb/47e5f648-2967-4d00-9ff6-0650f7932168?l=10

i5-6500 riittää helposti OPNSense/pfSense käyttöön ja tuohon saa matalan 4-porttisen verkkokortin kiinni.

Mulla on tuommonen ja sit toinen vähän vanhempi i5 olisko ollu jotain 4000 sarjaa. En millään muista oliko HP vai Dell mutta tommosia pikkusia SER-koneita.
ja löytyy 2x niihin menevää realtekin verkkokorttia, nehän on vähän ongelmallisia kuulemma mutta toisessa ajelin pfsenseä joskus ja ei mitään ongelmaa, vaihdoin vaan tohon sophosiin kun oli äänetön ja pienempi + tarvin koneen proxmox viritykseen.

 

[user9999]

Pfsense 25.11 Plus versioon julkaistu System_Patches 2.2.25. En tiedä onko tuota muihin versiohin.

 

[SamCer]

Pfsense 25.11 Plus versioon julkaistu System_Patches 2.2.25. En tiedä onko tuota muihin versiohin.

Ei näytä tulleen CE-versioon, vaan se pysyy edelleen .24-versiossa, ainakin toistaiseksi.

[edit] Noi samat patchit näyttää tulleen jo tuossa .24-versiossa CE:lle.

 

[MOS6510]

Sophos Firewallin versio 22 on julkaistu:

https://community.sophos.com/sophos-xg-firewall/b/blog/posts/sophos-firewall-v22-is-now-available

Home Edition on edelleen ilmainen. Sophos on ollut kerrassaan huoleton kotimuurina: Oma edellinen asennus on toiminut vuodesta 2018 tähän päivään asti ilman ensimmäistäkään uudelleenasennusta Fitlet 2:lla. Vain versiopäivityksiä on tehty yhtä nappulaa käyttöliittymästä klikkailemalla muutaman kerran vuodessa. V22 vaatii suuremmat osiot ja siksi sen joutuu asentamaan kokonaan uudelleen (vaihdan samalla alustan Fitlet 3:een). Asetukset saa tietysti siirrettyä vanhasta palauttamalla varmistuksen.

Sophos Firewall v22:n tärkein uusi juttu kotikäyttäjälle on se, että muurin Linux Kernel on vihdoin uusittu jotakuinkin ajantasaiseen versioon ja verkkokorttien tuki on parantunut olennaisesti. Intelin 2.5 Gbps verkkokortit toimivat nyt suoraan - aikaisemmin piti kikkailla tekemällä muuri virtuaaliseksi esim. Proxmoxin päälle.

 

[vesas]

Vaihteeksi Openwrt kokemuksia. Alustana siis Nanopi R5C. Noin parivuotta tullut tällä nyt täyteen ja yhtään palomuurin aiheuttamaa katkoa ei ole tullut vastaan. Päivitin nyt lopulta 24-sarjalaiseen. Openwrt päivitys sujuu nykyään parillakin metodilla, itse suosin Firmware selectorin custon paketin tekoa. Tuossahan siis Openwrt serveri kääntää halutulla pakettilistalla olevan flash imagen. Näin päivitypaketti on tallessa jos tulee uudelleenasennustarvetta ja siinä on sisällä valmiiksi kaikki tarvittava. Päivitys menee tuolla myös simppelisti, eli asetukset säilyy ja kaikki toiminnot on valmiiksi asennettuna.

Oma kuituyhteys päivittyi gigaiseksi kun tuli hyvä tarjous. Samalla pääsi eroon SQM-Cake:sta koska oma lähiverkko on myös gigainen. Ajoin myös nopeustestit R5C:llä ja sen CPU loppuu SQM-Cake kanssa noin 800M nopeuteen. Joten R5C:tä ei voi suositella jos joutuu Cake:a ajamaan. Kuitu näyttää tarjoavan ruuhkatta tuon giagaisen yhteyden ja bufferbloat testi antaa ilman Cake:a yhteydelle A+:san.

Eli jos etsii virtapihiä peruspalomuuria johon saa wireguardin yms. niin R5C on ok. SQM kanssa soveltuu 500M yhteyksiin saakka. Tämä siis toimii 5W usb-c laturilla eikä vaadi aktiivista jäähdytystä.

edit:
Pitäisi aina lukea ohjeita, Openwrt 24 sarjassa on parempi tuki verkkorajapinnan monisäikeistykselle. Kun laittoi packet steering: all CPUs asetuksen päälle niin nyt SQM cake riittää gigaiselle kuidulle:

 

[ristokoo]

Vaihteeksi Openwrt kokemuksia. Alustana siis Nanopi R5C.

Kysymys @vesas tai muut jotka Nanopi:ta käyttää: jos tuollaisen haluaa, mistä kannattaa ostaa? friendlyelec.com näyttää ainakin myyvän Suomeen, hintaa ilmeisesti tulisi luokkaa 100 dollaria + verot. Saako jostain halvemmalla, ja onko Euroopassa Suomeen toimittavaa verkkokauppaa?

 

[vesas]

Kysymys @vesas tai muut jotka Nanopi:ta käyttää: jos tuollaisen haluaa, mistä kannattaa ostaa? friendlyelec.com näyttää ainakin myyvän Suomeen, hintaa ilmeisesti tulisi luokkaa 100 dollaria + verot. Saako jostain halvemmalla, ja onko Euroopassa Suomeen toimittavaa verkkokauppaa?

Aikoinaan kun katselin niin omani ostin Aliexpressin kautta, heillä oli halvin posti ja jokin tarjouskuponki. Friendlyelec oma verkkokauppa oli vaihtoehto mutta heillä oli kalliimmat postit. Eli kannattaa vertailla eri jälleenmyyjiä. Ali:n ja muutaman muun verkkokaupan tuotteet tulee valmiiksi tullattuna ja verot maksettuna, eli kannattaa tuokin osuus tarkasta.

 

[vesas]

NanoPI:n laitteista pitää sitten huomata että sitä myydään eri kokoonpanoilla, eli on saatavilla kotelolla, ilman koteloa, wifi optiolla ja parilla eri muistimäärällä. Jos Openwrt:tä tuohon R5C:hen aikoo niin sekä 2G että 4G ram on taatusti riittävä, tuosta loppuu ensin CPU teho kuin muisti.

 

[user9999]

Pfsense System_Patches 2.2.26 julkaistu pfSense Plus 25.11, pfSense Plus 25.07.1 ja pfSense CE 2.8.1 versioihin.

Security Advisory: Potential remote command execution via DNSSL router advertisement messages

On December 16, 2025, FreeBSD® published a security advisory for a remote command execution vulnerability in rtsold.

www.netgate.com

 

[SamCer]

Pfsense System_Patches 2.2.26 julkaistu pfSense Plus 25.11, pfSense Plus 25.07.1 ja pfSense CE 2.8.1 versioihin.

Security Advisory: Potential remote command execution via DNSSL router advertisement messages

On December 16, 2025, FreeBSD® published a security advisory for a remote command execution vulnerability in rtsold.

www.netgate.com

CE:ssä oli tosiaan päivitys tullut tuohon, mutta verso muuttui .24 -> .25. Kyseessä siis CE 2.8.1.

Mites muilla CE:n käyttäjillä? Mikä versio teillä on tuosta System_Patches-paketista kun se on täysin päivitetty?

 

[SamCer]

Pistän tän erikseen kun kyseessä eri asia:

Acme-client pfSensessä on näköjään siirtynyt käyttämään DoH-palvelimia resolvaukseen kun Let's Encrypt-certtiä asetetaan/uusitaan, joka aiheutti itselle ongelmia kun olen blokannut pfBlockerNG:ssä kaikki tunnetut DoH/DoT/DoQ-serverit, jonka vuoksi certin uusinta epäonnistui. Tuota käytöstä ei pysty, ainakaan versiossa 1.0.3, muuttamaan GUI:sta (tai no pystyy, mutta epäselvällä tavalla), mutta ongelma ratkesi kasvattamalla DNS-Sleep-arvon 180:n sekuntiin. Tuon vinkin sain ChatGPT:ltä ja se perusteli sitä näin:

Ratkaisu 2: Ohita DoH täysin nostamalla DNS Sleep​

Toimii usein Cloudflaren kanssa.

ACME Certificate:

• DNS Sleep: 180

Tällöin:

• TXT lisätään
• acme.sh ei jää jumiin DoH-tarkistukseen
• LE tarkistaa itse TXT:n

Ei 100 % varma kaikissa verkoissa, mutta usein riittävä.

Tuli vastaan tälläinen ketju aiheesta: ACME renewal timeout and "No doh"

Jos nyt oikein ymmärsin, niin tuon DNS Sleep-arvon voisi myös pistää lyhyemmäksikin ja tuon arvon lisäys ottaa tuon DoH-tarkistuksen pois käytöstä?

 

[JiiPee]

Jos nyt oikein ymmärsin, niin tuon DNS Sleep-arvon voisi myös pistää lyhyemmäksikin ja tuon arvon lisäys ottaa tuon DoH-tarkistuksen pois käytöstä?

Kyllä sen noin voipi tulkita että silloin kun ton sleep arvon asetat niin DoH lakkaa toimimasta ja query tehdään määritellyn ajan kuluttua suoraan domainin dns servereiltä.

EDIT: Omasta kokemuksesta sitä tsekkauksen pyyntöä ei kannata laittaa liian matalaksi taikka muuten voi käydä niin että LE tekee tarkistuksen joltain orjalta joka ei ole vielä ehtinyt päivittää. Välillä noi orjat käyttäytyy hiukan vaihtelevasti, varsinkin jos ajelee jotain kolmannen osapuolen orjaa.

Nyt Heznerin orjat käy päivitykset hakees suht rivakasti, mutta aiemmin kun mulla oli OVH niin niiden orja ei kyllä reagoinut notifyyn juurikaan.

 

[user9999]

PfSense Plus Software Version 25.11.1 julkaistu.

Netgate Releases pfSense Plus Software Version 25.11.1

Netgate® announces the release of pfSense Plus software version 25.11.1. This maintenance software release contains over 26 fixes and improvements. All pfSense Plus users are encouraged to upgrade to this new version.

www.netgate.com

 

[Khauron]

pfSenseen julkaistu System Patches 2.2.27. 25.11.1:een toi kaksi patchia:

Fix missing system logs from daemon facility(Redmine #16682)
Fix input validation when saving empty VIP addresses(Redmine #16610)

 

[Khauron]

Ja heti perään tuli System Patches 2.2.28. 25.11.1:een kaksi uutta patchia:

Fix population of Certificate Manager CA trust store entries(Redmine #16688)
Fix Dynamic DNS preference for certificate trust in custom entries without a username(Redmine #16690)

 

[Pörkyle]

Uusin IPFire päivitys toi mukanaan IPFire Domain Blocklistin sekä uudempaa kerneliä.

www.ipfire.org - IPFire 2.29 - Core Update 200 released

www.ipfire.org

We are excited for the final release of IPFire 2.29 - Core Update 200. This release ships with Linux kernel 6.18 LTS, an exciting preview of IPFire DBL (our new domain blocklist system), numerous package updates, performance improvements, security fixes, and plenty of general awesomeness throughout. As we mark this 200th update milestone, we extend our heartfelt thanks to our community whose continued support makes it all possible — we hope this release reflects the care and dedication we've poured into it.

Help Us Build the DNS Firewall — A Call for Community Support​

IPFire DBL, previewed in this release, is the foundation of something much bigger. As we have previously announced, our next major milestone is a fully integrated DNS Firewall — bringing modern, native content filtering to IPFire, making it the only tool your network needs to block advertising, malware, and unwanted content at the DNS layer.

If this is a vision you share, please consider supporting its development with a donation. Every contribution brings us closer to making it a reality.

Kernel 6.18​

The IPFire kernel has been rebased on Linux 6.18.7. This new long-term supported release brings various security, performance and stability improvements. This update brings general improvements to network throughput and latency, enhanced packet filtering capabilities, and the latest hardware security mitigations.

Furthermore, the Linux developers have deprecated support for ReiserFS. If your IPFire installation is running on this filesystem, you will have seen a note on the web user interface for some time and you won't be able to install the update. Instead you will have to re-install using IPFire with a supported file system.

IPFire Domain Blocklist​

Since the infamous Shalla list has been retired, the IPFire web proxy has been in need of a stable source of domains to block if you wish to filter any malware, social networks or adult content from your network. Due to the lack of good sources, and the general desire to provide a solid domain block list to our users, we have now started our own. It is in its baby stages right now and we will have a lot of excitement to share about this in the near future, but for now it will be available in two places:

• URL Filter: You can now use IPFire DBL to block any access through the proxy
• Suricata: With launching IPFire DBL, we are now becoming a Suricata rules provider, too. With the new database, you will be able to block any access to banned sites even more thoroughly by allowing the IPS to perform deep packet inspection on DNS/TLS/HTTP/QUIC connections.

This is currently in an early beta stage and we are happy to receive your feedback and support.

Misc.​

• Intrusion Prevention System
  • In the last update, it was introduced that Suricata could store signatures in a pre-compiled cache. That cache grew without bounds and could consume significant disk space. In this update, we back ported a patch so that Suricata will automatically cleanup any unused signatures.
  • The reporter has been updated to include additional information for any alerts using DNS, HTTP, TLS, or QUIC where the hostname and more information will be shown in the alert emails or PDF reports. This will help admins to further investigate any corporate policy violations.
• OpenVPN
  • The client configuration will no longer include the MTU. Instead, it will be pushed by the server so that the admin has the liberty to change it later. Some older clients might not support this change.
  • Likewise, the OTP auth token will be pushed by the server if the client has OTP enabled.
  • The client configuration files will no longer include the CA as it is already included in the PKCS12 container. This caused problems when importing connections using NetworkManager on command line.
• Wireless Access Point
  • Support for 802.11a/g has been re-introduced
  • Unintentionally, hostapd could log a lot of debugging information if debugging was enabled before
  • PSK values that include any special characters will now be accepted
• Unbound, the IPFire DNS Proxy, will now launch one thread per CPU code. Formerly it used to run single-threaded, but we expect quicker response times from launching multiple concurrent threads.
• PPP: IPFire will now only send LCP keep alive packets when there is no traffic. This will slightly save on overhead on DSL and 5G/4G connections.
• UI
  • The DNS page will now consistently show the legend.
• OpenSSL has been update to version 3.6.1 and patches against the following vulnerabilities: CVE-2025-11187, CVE-2025-15467, CVE-2025-15468, CVE-2025-15469, CVE-2025-66199, CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2026-22795, CVE-2026-22796.
• glibc has been patched against CVE-2026-0861, CVE-2026-0915 and CVE-2025-15281
• Updated packages - and as usual, it is a lot: Apache 2.4.66, bash 5.3p9, BIND 9.20.18, coreutils 9.9, cURL 8.18.0, elinks 0.19.0, glib 2.87.0, GnuPG 2.4.9, GnuTLS 3.8.11, harfbuzz 12.3.0, hwdata 0.403, iana-etc 20251215, intel-microcode 20251111, libarchive 3.8.5, libcap-ng 0.9, libgpg-error 1.58, libidn2 2.3.8, libjpeg 3.1.3, libpcap 1.10.6, libplist 2.7.0, libpng 1.6.53, libtasn1 4.21.0, liburcu 0.15.5, libxcrypt 4.5.1, LVM2 2.03.38, mdadm 4.5, memtest 8.00, meson 1.10.1, newt 0.52.25, ninja 1.13.2, oath-toolkit 2.6.13, OpenVPN 2.6.17, OpenSSL 3.6.1, SQLite 3.51.100, tzdata 2025c, readline 8.3p3, strongSwan 6.0.4, suricata 8.0.3, suricata-reporter 0.6, Rust 1.92.0, Unbound 1.24.2, wireless-regdb 2025.10.07, vim 9.1.2098, xz 5.8.2
• Updated add-ons: alsa 1.2.15.3, ClamAV 1.5.1, dnsdist 2.0.2, fetchmail 6.6.0, gdb 17.1, Git 2.52.0, fort-validator 1.6.7, freeradius 3.2.8, libtpms 0.10.2, opus 1.6.1, postfix 3.10.6, samba 4.23.4, strace 6.18, tmux 3.6a, Tor 0.4.8.21, tshark 4.6.3