Cara Mengatur Penyaringan IP dan DNS Blackholing pada pfSense Menggunakan pfBlockerNG

Marc Dahan

By Marc Dahan . 24 Januari 2024

Jurnalis Keamanan Siber

Miklos Zoltan

Fact-Checked this

pfSense adalah solusi firewall/router open-source yang sangat kuat. Berbasis pada FreeBSD, pfSense memiliki fokus yang kuat pada keamanan. Bahkan dalam konfigurasi “vanila”, pfSense akan jauh lebih aman daripada router siap pakai yang dapat Anda beli.

Secara default, pfSense menyediakan banyak alat untuk menyesuaikan pengaturan jaringan yang aman. Tetapi di atas alat-alat bawaannya, pfSense juga memiliki repositori paket add-on yang dapat Anda instal untuk meningkatkan pengaturan Anda lebih lanjut.

Dalam posting ini, kita akan melihat pfBlockerNG. pfBlockerNG adalah paket opsional yang tersedia untuk pfSense. Apa yang dilakukan pfBlockerNG pada dasarnya memperluas fungsionalitas firewall pfSense dengan memberi Anda kemampuan untuk mengatur dengan cermat koneksi masuk dan keluar menggunakan daftar blokir IP dan DNS.

Panduan terkait: Cara Memblokir Iklan di Semua Perangkat Anda dengan pfSense, Squid & SquidGuard

Ringkasan artikel singkat:
pfSense adalah solusi firewall/router open-source yang kuat berbasis FreeBSD, menawarkan tingkat keamanan yang lebih tinggi daripada router siap pakai.
Selain alat bawaannya, pfSense menawarkan paket add-on seperti pfBlockerNG, yang meningkatkan fungsionalitas firewall dengan memungkinkan penyesuaian masuk dan keluar dengan menggunakan daftar blokir IP dan DNS.

Dua penggunaan inti pfBlockerNG meliputi penyaringan lalu lintas masuk dan keluar berdasarkan daftar IP dan penerapan pembatasan GeoIP, serta memblokir iklan dan situs berbahaya melalui filtrasi DNS.

Dengan memeriksa permintaan DNS terhadap daftar blokir, pfBlockerNG mencegah akses ke konten berbahaya dan berfungsi sebagai solusi pemblokiran iklan yang efisien tanpa perlu server proxy.

Cara Mengatur Penyaringan IP

Apa itu pfBlockerNG?

pfBlockerNG memiliki dua penggunaan inti:

Penyaringan lalu lintas masuk dan keluar

pfBlockerNG dapat menyaring lalu lintas masuk dan keluar berdasarkan daftar IP dan menerapkan pembatasan GeoIP dengan mengizinkan atau menolak lalu lintas dari/ke negara-negara tertentu. Fungsi terakhir ini sangat berguna jika Anda membuka port pada WAN Anda.

Memblokir iklan dan situs berbahaya melalui blackholing DNS

pfBlockerNG dapat memblokir iklan dan akses ke situs berbahaya melalui filtrasi DNS. Saat menjelajahi web, permintaan DNS Anda diperiksa terhadap daftar blokir. Jika ada kecocokan, permintaan akan diblokir. Ini adalah cara yang bagus untuk memblokir iklan tanpa menggunakan server proxy.

Kita akan melihat kedua kasus penggunaan ini dan akan menjelajahinya lebih detail saat kita menghadapinya masing-masing.

Panduan ini mengasumsikan bahwa Anda telah mengatur pfSense dengan antarmuka WAN dan LAN yang berfungsi.

pfSense dengan antarmuka WAN dan LAN yang berfungsi

Ayo mulai.

Menginstal pfBlockerNG-devel

Hal pertama yang perlu kita lakukan adalah menginstal pfBlockerNG.

  1. Dari menu atas, pilih System > Package Manager. Anda akan dibawa ke tab Installed Packages pada Package Manager.
    Instal pfBlockerNG.
  2. Pilih Available Packages. Daftar paket yang tersedia akan ditampilkan.

    Langkah 2 Instal pfBlockerNG

  3. Gulir ke bawah sampai Anda melihat pfBlockerNG. Ada dua entri untuk pfBlockerNG: pfBlockerNG dan pfBlockerNG-devel. Kami akan menginstal pfBlockerNG-devel. Meskipun akhiran “devel” berarti versi pengembangan (yaitu, perangkat lunak beta), itu sepenuhnya fungsional dan terus dikembangkan. Ini akan selalu dalam versi beta karena pengembang paket merasa lebih aman mempertimbangkannya sebagai perangkat lunak beta saat dia terus menambahkan fungsionalitas baru ke dalam paket.

    Instal pfBlockerNG-devel

  4. Klik Install, di sebelah pfBlockerNG-devel. Jendela Package Installer akan muncul.
  5. Klik Confirm. Proses instalasi dimulai.

    pfBlockerNG-devel

  6. Setelah instalasi selesai, Anda seharusnya melihat Success di bagian bawah jendela Package Installer. pfBlockerNG-devel kini terinstal.

    pfBlockerNG-devel

Pengaturan Dasar

Sekarang bahwa pfBlockerNG-devel sudah terinstal, kita perlu mengonfigurasi paket kami. Dan kita akan mulai dengan penyaringan IP dan GeoIP.

Kami akan mengonfigurasi pfBlockerNG satu per satu. Pengaturan apa pun yang tidak disebutkan harus dibiarkan pada nilai default mereka.

  1. Dari menu atas, pilih Firewall > pfBlockerNG. Wizard konfigurasi pfBlocker ditampilkan.
    Pengaturan Dasar pfBlockerNG
  2. Anda dapat menjalankan wizard konfigurasi atau mengonfigurasi pfBlockerNG secara manual. Kita akan mengonfigurasi secara manual, jadi Anda dapat klik tanda merah DI SINI untuk menutup wizard. Anda akan dibawa ke halaman General pengaturan pfBlocker.

    Halaman Pengaturan pfBlockerNG

Umum / Pengaturan Umum

  1. Cek kotak Aktifkan yang terletak di sebelah kanan pfBlockerNG. Ini akan mengaktifkan layanan.
  2. Klik Simpan di bagian bawah halaman.
  3. Kami akan meninggalkan pengaturan lainnya di halaman ini dengan nilai default mereka.

Aktifkan pfBlockerNG

Penyaringan IPv4

IP / Konfigurasi IP

  1. Pilih tab IP untuk mengakses halaman pengaturan IP. Untuk saat ini, jangan sentuh submenu yang muncul di bawahnya.
  2. IP / Konfigurasi IP

    1. Pilih tab IP untuk mengakses halaman pengaturan IP. Untuk saat ini, jangan sentuh submenu yang muncul di bawahnya.

    Konfigurasi IP / IP

    IP / Konfigurasi MaxMind GeoIP

    Seperti yang saya sebutkan di atas, fitur GeoIP pfBlockerNG memungkinkan Anda menyaring lalu lintas dari dan ke seluruh negara atau benua. Untuk melakukannya, pfBlocker menggunakan database MaxMind GeoIP, yang memerlukan kunci lisensi. Tautan dalam deskripsi kolom MaxMind License Key mengarahkan Anda ke halaman registrasi MaxMind. Kunci lisensi MaxMind ini gratis.

    Isi formulir registrasi untuk mendapatkan kunci lisensi Anda. Setelah Anda memiliki kunci lisensi, masukkan ke dalam kolom MaxMind License Key.

    Konfigurasi MaxMind GeoIP

    Dan:

    Pendaftaran MaxMind

    IP / Konfigurasi Antarmuka/Rules IP

    Bagian ini menentukan antarmuka mana yang diterapkan penyaringan IPv4, IPv6, dan GeoIP pfBlockerNG untuk lalu lintas masuk dan keluar.

    1. Pilih WAN dari kolom Aturan Firewall Masuk (dan antarmuka WAN lainnya yang mungkin Anda miliki dan ingin disaring).
    2. Pilih LAN dari kolom Aturan Firewall Keluar (dan antarmuka berjenis LAN lainnya yang mungkin Anda miliki dan ingin disaring).
    3. Aktifkan Aturan Mengambang. Aturan mengambang adalah aturan firewall khusus yang diterapkan sebelum aturan firewall reguler. Hal ini memastikan bahwa penyaringan pfBlockerNG terjadi segera setelah lalu lintas mencapai firewall. Manfaat lainnya adalah pfBlockerNG akan secara otomatis membuat aturan mengambang untuk Anda.
    4. Klik Simpan di bagian bawah halaman.

    Konfigurasi Antarmuka pfBlockerNG

    Menambahkan Feed IPv4

    Saatnya menambahkan beberapa daftar blokir ke pfBlockerNG. Meskipun Anda bebas untuk menambahkan feed kustom Anda, pfBlockerNG memiliki beberapa feed bawaan yang dapat kita aktifkan (istilah daftar dan feed dapat dipertukarkan dalam konteks ini).

    Ini sangat praktis karena mencari daftar blokir di internet memakan waktu, dan banyak yang tidak berfungsi atau tidak lagi dikelola. Feed dalam pfBlocker adalah daftar aktif yang secara teratur diperbarui, jadi kita akan menggunakannya.

    1. Pilih tab Feed.
    2. Klik biru +, di sebelah PRI1. Ini adalah yang pertama. PRI1 adalah kumpulan feed, jadi terdiri dari beberapa feed, seperti yang akan kita lihat sebentar lagi. Setelah Anda mengklik biru +, Anda akan dibawa ke halaman IP / IPv4, di mana feed yang Anda pilih akan terdaftar. Dan hampir semua bidang yang relevan akan terisi secara otomatis.

    Tab Feeds pfBlockerNG

    IP / IPv4

    Nama koleksi feed diisi bersama dengan deskripsinya. URL feed yang termasuk dalam koleksi dan deskripsi terkait mereka juga diisi. Namun, feed kami secara default diatur ke MATI. Kita perlu mengaktifkannya.

    Daftar IPv4 pfBlockerNG

    Tetapi sebelum melakukannya, kita perlu menghapus salah satu feed dari koleksi PRI1. Pulsedive, feed ke-7 dari atas, adalah daftar premium yang memerlukan kunci API berbayar. Kami tidak akan mendapatkan kunci API untuk tutorial ini. Klik tombol Hapus.

    Hapus Feed

    1. Setelah Anda menghapus Pulsedive, aktifkan semua feed dengan mengatur ke NYALA.

      Daftar Aktif

    2. Gulir ke bawah ke bagian Pengaturan halaman.
    3. Dari menu dropdown Tindakan, pilih Larang Keduanya. Ini akan memblokir lalu lintas dari dan ke alamat IP dalam daftar/feed. Anda dapat memilih hanya untuk melarang koneksi masuk atau keluar jika Anda mau. Hanya perlu diingat bahwa jika Anda hanya melarang lalu lintas masuk dan host di jaringan Anda menginisiasi koneksi keluar ke salah satu IP tersebut, tanggapan masuk dari IP tersebut akan diizinkan. Itu mungkin baik tergantung pada lingkungan Anda – hanya perlu diingat. Untuk contoh ini, saya akan memilih Larang Keduanya.
    4. Klik Simpan Pengaturan IPv4 di bagian bawah halaman.

    Anda dapat mengulangi langkah yang sama untuk IPv6 jika ISP Anda memberikan alamat IP IPv4 dan IPv6 kepada WAN Anda. Sebagian besar dari kita masih menggunakan jaringan IPv4 saja.

Pemfilteran GeoIP

Sebelum mengonfigurasi pemfilteran GeoIP, pertama-tama kita perlu memaksa pembaruan pfBlockerNG. pfBlocker secara otomatis melakukan pembaruan pada interval tertentu. Namun, untuk mengonfigurasi pemfilteran GeoIP, pfBlocker pertama-tama perlu mengambil database MaxMind, dan pembaruan yang dipaksa akan melakukannya.

  1. Pilih tab Update dari pengaturan pfBlockerNG.
  2. Klik Jalankan. Pembaruan dimulai.

    Pengaturan Pembaruan GeoIP

  3. Saat pembaruan selesai, Anda seharusnya melihat PROSES PEMBARUAN BERAKHIR di bagian bawah jendela Log di bawah Pengaturan Pembaruan.

    Proses Pembaruan GeoIP Berakhir

  4. Melalui jendela Log, kita bisa melihat bahwa kedua feed IPv4 dan database GeoIP telah diperbarui.

    Log IPv4

    Log IPv4

    Log GeoIP

    Log GeoIP

  5. Dari tab IP dalam pengaturan pfBlockerNG, pilih sub-menu GeoIP. Ringkasan GeoIP ditampilkan.
    Menu GeoIP

Ringkasan GeoIP terdiri dari feed alamat IP yang diorganisir berdasarkan benua, dengan dua kategori tambahan: Top Spammers dan Proxy dan Satellite. Top Spammers adalah daftar negara yang dikenal sebagai sumber serangan online yang sering. Dan Proxy dan Satellite adalah penyedia proxy anonim dan satelit yang dikenal.

Anda dapat memfilter lalu lintas ke/dari seluruh benua, atau Anda dapat menyesuaikan feed dengan memilih hanya negara-negara yang ingin Anda filter.

Mengubah daftar negara

  1. Klik ikon pensil di sebelah feed yang ingin Anda edit.

    Ringkasan GeoIP

  2. Pilih negara-negara yang ingin Anda filter oleh pfBlockerNG.
  3. Klik Simpan di bagian bawah halaman.

    Halaman Ringkasan GeoIP

Mengonfigurasi blokir negara

  1. Kembali ke menu GeoIP dalam pengaturan pfBlocker.
  2. Seperti yang kita lakukan dengan daftar IPv4, dari menu drop-down Tindakan di sebelah kanan setiap bidang, pilih salah satu dari Blokir Masuk, Blokir Keluar, atau Blokir Keduanya.

    Tindakan GeoIP

Sekarang, ada beberapa hal yang perlu dipertimbangkan di sini. Jika Anda ingin memblokir koneksi keluar ke sebuah negara atau benua, silakan lakukan. Namun, jika Anda berpikir untuk memblokir tautan masuk dari pemerintah atau benua, pertimbangkan bahwa pfSense secara default memblokir semua lalu lintas masuk yang tidak diminta di WAN.

Itu berarti bahwa kecuali Anda memiliki port terbuka di WAN Anda, memblokir negara atau benua tidak berguna dan hanya akan menghabiskan memori tanpa alasan. Jika Anda memiliki port terbuka di WAN Anda, pastikan Anda tidak memblokir koneksi dari negara-negara yang ingin Anda izinkan untuk terhubung ke port terbuka Anda.

Alias adalah daftar alamat IP dalam pfSense. Dengan menggunakan alias, Anda dapat mengizinkan hanya negara-negara tertentu yang Anda pilih untuk mengakses port terbuka Anda. Namun, ada cara untuk membuat alias kustom dari database MaxMind GeoIP dalam pfBlockerNG yang dapat digunakan langsung sebagai sumber dalam aturan firewall pengalihan port Anda.

Membuat Alias GeoIP di pfBlockerNG

Karena pfSense secara otomatis memblokir semua lalu lintas yang tidak diizinkan secara eksplisit dalam aturan firewall, kita ingin membuat alias dari negara-negara yang akan kita izinkan melalui firewall. pfSense akan memblokir sisanya secara default.

  1. Pergi ke sub-menu IPv4 dan klik Tambah.

    Tambahkan Alias Kustom

  2. Beri nama alias Anda dan berikan deskripsi.
  3. Atur bidang Format ke GeoIP.
  4. Atur bidang Status ke ON.
  5. Setel Tindakan menjadi Alias Asli.

  6. Ketik huruf pertama dari negara yang ingin Anda tambahkan ke alias. Pilih negara-negara yang ingin Anda tambahkan ke dalam alias. Daftar negara akan muncul.

    Memulai Mengetik Alias Kustom

  7. Anda dapat menambahkan lebih banyak negara ke alias Anda dengan mengklik tombol hijau Tambahkan.

    Tambahkan Negara

  8. Atur Frekuensi Pembaruan ke Sekali sehari.
  9. Klik Simpan Pengaturan IPv4 di bagian bawah halaman. Setelah Anda memaksa pembaruan pfBlockerNG, alias Anda akan tersedia untuk dimasukkan dalam aturan firewall Anda.

    Pengaturan Alias Kustom

Jika Anda memiliki port terbuka tetapi ingin tetap sederhana, Anda dapat memblokir koneksi masuk dari Top Spammers dan Proxy dan Satellite tanpa membuat alias kustom. Ingatlah bahwa ini hanya bermanfaat jika Anda memiliki port terbuka di WAN Anda.

Blokir Spammers dan Satelit

Jika Anda tidak memiliki port terbuka di WAN Anda, hanya blokir lalu lintas keluar atau biarkan pemfilteran GeoIP dinonaktifkan.

Pengujian Pemfilteran IPv4

Untuk memastikan bahwa lalu lintas kita sedang difilter. Kita dapat mencoba menghubungkan ke alamat IP yang diketahui ada dalam daftar blokir. Jika saya mencoba mengakses 1.13.9.177 (sebuah alamat IP yang terdapat dalam feed IPv4 pfBlockerNG saya) di browser saya, alamat IP tersebut tidak akan diterjemahkan ke nama domain, dan saya tidak dapat terhubung. Itulah yang kita inginkan.

Uji IPv4

Mari lanjutkan ke konfigurasi DNSBL pfBlocker.

DNSBL

Baiklah. Kami sudah mengonfigurasi pemfilteran IPv4, pemfilteran GeoIP, dan alias. Sekarang saatnya beralih ke penggunaan pfBlockerNG untuk memblokir iklan. Pemblockiran iklan dalam pfBlockerNG dicapai melalui DNS blackholing. Ini mengacu pada permintaan DNS Anda terhadap daftar jaringan iklan dan pelacak yang diketahui, dan memblokirnya pada tingkat DNS setiap kali ada kecocokan, menghasilkan internet bebas iklan. Hore!

Untuk menggunakan fitur DNSBL di pfBlockerNG, Anda harus menggunakan Pengurai DNS dalam pfSense untuk resolusi DNS Anda. Artinya, Anda tidak dapat menetapkan DNS host Anda melalui DHCP atau menggunakan Penerus DNS (dnsmasq) jika Anda ingin menggunakan fitur DNSBL.

Secara default, pfSense menggunakan Pengurai DNS di semua antarmuka. Jadi jika Anda tidak melakukan perubahan apa pun pada pengaturan Pengurai DNS, Anda baik-baik saja. Jika Anda membuat perubahan, konfigurasikan Pengurai untuk terikat pada LAN Anda (keluar) dan WAN Anda (masuk). Dan pilih antarmuka tipe LAN lainnya (antarmuka OPT) dan antarmuka tipe WAN (pengaturan multi-WAN, gateway VPN) lainnya yang ingin Anda filter dengan DNSBL.

Pengurai DNS

Mengkonfigurasi DNSBL

  1. Pilih tab DNSBL.
  2. Aktifkan DNSBL.
  3. Di sebelah Mode DNSBL, pilih Mode Python Unbound.

    DNSBL

  4. Gulir ke bagian Konfigurasi DNSBL.
  5. Aktifkan Izin Aturan Firewall dan pilih LAN Anda dan antarmuka tipe LAN lainnya yang ingin Anda saring dengan DNSBL. Ini akan secara otomatis membuat aturan firewall mengambang (seperti yang kita lakukan dengan pemfilteran IPv4) sehingga pemfilteran DNSBL akan terjadi segera setelah lalu lintas mencapai firewall.
  6. Klik Simpan Pengaturan DNSBL di bagian bawah halaman.

    Simpan Pengaturan DNSBL

Sekarang kita perlu menambahkan beberapa feed DNSBL.

Menambahkan Feed DNSBL

  1. Pilih tab Feed.
  2. Gulir ke bawah hingga Anda melihat Kategori DNSBL di sebelah kiri. Entri pertama adalah EasyList.
  3. Klik tombol biru + di sebelah kiri EasyList. Anda akan diarahkan ke halaman Grup DNSBL, di mana feed yang Anda pilih akan terdaftar, seperti pada pemfilteran IPv4. Dan hampir semua bidang yang relevan akan diisi secara otomatis.

    Feed DNSBL

  4. Hapus semua feed kecuali yang pertama dan terakhir: EasyList dan EasyList Privacy.
  5. Atur sisa feed ke ON.

    Daftar DNSBL Aktif

  6. Gulir ke bawah ke bagian Pengaturan.
  7. Atur Tindakan ke Unbound.
  8. Klik tanda + di sebelah kanan DNSBL Custom_List. Jendela DNSBL Custom_List akan ditampilkan.
  9. Masukkan vungle.com dalam jendela DNSBL Custom_List. Kami menambahkan domain ini agar kami bisa memastikan pemfilteran DNSBL berfungsi dengan mencoba mengakses domain yang diketahui diblokir.
  10. Klik Simpan Pengaturan DNSBL di bagian bawah halaman.

Menggugurkan pembaruan pfBlockerNG

Sekarang kita perlu memaksa pembaruan pfBlockerNG, seperti yang kita lakukan sebelumnya.

  1. Pilih tab Pembaruan. Anda akan diarahkan ke halaman pembaruan pfBlockerNG.
  2. Klik Jalankan. Pembaruan dimulai.

    Pengaturan Pembaruan

Setelah pembaruan selesai, kita dapat melihat bahwa feed DNSBL kita telah diperbarui.

Catatan Pembaruan DNSBL

Menguji DNSBL

Untuk memastikan bahwa pemfilteran DNSBL berfungsi, kita akan mencoba menghubungkan ke domain yang saya tambahkan ke DNSBL Custom_List: vungle.com. Jika saya mencoba mengakses vungle.com di browser saya, halaman blokir DNSBL akan ditampilkan dengan beberapa informasi yang membantu.

Uji DNSBL

Penutup

Jadi, itulah yang Anda butuhkan. Anda telah berhasil menginstal dan mengonfigurasi pfBlockerNG-devel di pfSense. Kami mengonfigurasi pemfilteran IPv4, pemfilteran GeoIP, serta pemfilteran DNSBL. Ketiga fitur ini membuat jaringan Anda lebih aman dan pribadi tanpa mengurangi kecepatan koneksi Anda.

Ketika jaringan Anda berkembang, Anda mungkin perlu membuka beberapa port tertentu di WAN Anda jika Anda ingin menjalankan server VPN atau jika Anda ingin menghosting server web yang dapat diakses dari internet. Ketika Anda melakukannya, pfBlockerNG akan menjadi alat yang bagus dalam toolbox keamanan Anda untuk membantu Anda mengamankan jaringan Anda dan mengontrol akses dari luar dengan detail.

Terkait: Cara mencari VPN terbaik

Leave a Comment