pfSense adalah solusi firewall/router open-source yang sangat kuat. Berbasis pada FreeBSD, pfSense memiliki fokus yang kuat pada keamanan. Bahkan dalam konfigurasi “vanila”, pfSense akan jauh lebih aman daripada router siap pakai yang dapat Anda beli.
Secara default, pfSense menyediakan banyak alat untuk menyesuaikan pengaturan jaringan yang aman. Tetapi di atas alat-alat bawaannya, pfSense juga memiliki repositori paket add-on yang dapat Anda instal untuk meningkatkan pengaturan Anda lebih lanjut.
Panduan terkait: Cara Memblokir Iklan di Semua Perangkat Anda dengan pfSense, Squid & SquidGuard
Ringkasan artikel singkat:
pfSense adalah solusi firewall/router open-source yang kuat berbasis FreeBSD, menawarkan tingkat keamanan yang lebih tinggi daripada router siap pakai.
Selain alat bawaannya, pfSense menawarkan paket add-on seperti pfBlockerNG, yang meningkatkan fungsionalitas firewall dengan memungkinkan penyesuaian masuk dan keluar dengan menggunakan daftar blokir IP dan DNS.Dua penggunaan inti pfBlockerNG meliputi penyaringan lalu lintas masuk dan keluar berdasarkan daftar IP dan penerapan pembatasan GeoIP, serta memblokir iklan dan situs berbahaya melalui filtrasi DNS.
Dengan memeriksa permintaan DNS terhadap daftar blokir, pfBlockerNG mencegah akses ke konten berbahaya dan berfungsi sebagai solusi pemblokiran iklan yang efisien tanpa perlu server proxy.
pfBlockerNG memiliki dua penggunaan inti:
Penyaringan lalu lintas masuk dan keluar
pfBlockerNG dapat menyaring lalu lintas masuk dan keluar berdasarkan daftar IP dan menerapkan pembatasan GeoIP dengan mengizinkan atau menolak lalu lintas dari/ke negara-negara tertentu. Fungsi terakhir ini sangat berguna jika Anda membuka port pada WAN Anda.
Memblokir iklan dan situs berbahaya melalui blackholing DNS
pfBlockerNG dapat memblokir iklan dan akses ke situs berbahaya melalui filtrasi DNS. Saat menjelajahi web, permintaan DNS Anda diperiksa terhadap daftar blokir. Jika ada kecocokan, permintaan akan diblokir. Ini adalah cara yang bagus untuk memblokir iklan tanpa menggunakan server proxy.
Kita akan melihat kedua kasus penggunaan ini dan akan menjelajahinya lebih detail saat kita menghadapinya masing-masing.
Panduan ini mengasumsikan bahwa Anda telah mengatur pfSense dengan antarmuka WAN dan LAN yang berfungsi.
Ayo mulai.
Hal pertama yang perlu kita lakukan adalah menginstal pfBlockerNG.
Sekarang bahwa pfBlockerNG-devel sudah terinstal, kita perlu mengonfigurasi paket kami. Dan kita akan mulai dengan penyaringan IP dan GeoIP.
Kami akan mengonfigurasi pfBlockerNG satu per satu. Pengaturan apa pun yang tidak disebutkan harus dibiarkan pada nilai default mereka.
Seperti yang saya sebutkan di atas, fitur GeoIP pfBlockerNG memungkinkan Anda menyaring lalu lintas dari dan ke seluruh negara atau benua. Untuk melakukannya, pfBlocker menggunakan database MaxMind GeoIP, yang memerlukan kunci lisensi. Tautan dalam deskripsi kolom MaxMind License Key mengarahkan Anda ke halaman registrasi MaxMind. Kunci lisensi MaxMind ini gratis.
Isi formulir registrasi untuk mendapatkan kunci lisensi Anda. Setelah Anda memiliki kunci lisensi, masukkan ke dalam kolom MaxMind License Key.
Dan:
Bagian ini menentukan antarmuka mana yang diterapkan penyaringan IPv4, IPv6, dan GeoIP pfBlockerNG untuk lalu lintas masuk dan keluar.
Saatnya menambahkan beberapa daftar blokir ke pfBlockerNG. Meskipun Anda bebas untuk menambahkan feed kustom Anda, pfBlockerNG memiliki beberapa feed bawaan yang dapat kita aktifkan (istilah daftar dan feed dapat dipertukarkan dalam konteks ini).
Ini sangat praktis karena mencari daftar blokir di internet memakan waktu, dan banyak yang tidak berfungsi atau tidak lagi dikelola. Feed dalam pfBlocker adalah daftar aktif yang secara teratur diperbarui, jadi kita akan menggunakannya.
Nama koleksi feed diisi bersama dengan deskripsinya. URL feed yang termasuk dalam koleksi dan deskripsi terkait mereka juga diisi. Namun, feed kami secara default diatur ke MATI. Kita perlu mengaktifkannya.
Tetapi sebelum melakukannya, kita perlu menghapus salah satu feed dari koleksi PRI1. Pulsedive, feed ke-7 dari atas, adalah daftar premium yang memerlukan kunci API berbayar. Kami tidak akan mendapatkan kunci API untuk tutorial ini. Klik tombol Hapus.
Anda dapat mengulangi langkah yang sama untuk IPv6 jika ISP Anda memberikan alamat IP IPv4 dan IPv6 kepada WAN Anda. Sebagian besar dari kita masih menggunakan jaringan IPv4 saja.
Sebelum mengonfigurasi pemfilteran GeoIP, pertama-tama kita perlu memaksa pembaruan pfBlockerNG. pfBlocker secara otomatis melakukan pembaruan pada interval tertentu. Namun, untuk mengonfigurasi pemfilteran GeoIP, pfBlocker pertama-tama perlu mengambil database MaxMind, dan pembaruan yang dipaksa akan melakukannya.
Log IPv4
Log GeoIP
Ringkasan GeoIP terdiri dari feed alamat IP yang diorganisir berdasarkan benua, dengan dua kategori tambahan: Top Spammers dan Proxy dan Satellite. Top Spammers adalah daftar negara yang dikenal sebagai sumber serangan online yang sering. Dan Proxy dan Satellite adalah penyedia proxy anonim dan satelit yang dikenal.
Anda dapat memfilter lalu lintas ke/dari seluruh benua, atau Anda dapat menyesuaikan feed dengan memilih hanya negara-negara yang ingin Anda filter.
Sekarang, ada beberapa hal yang perlu dipertimbangkan di sini. Jika Anda ingin memblokir koneksi keluar ke sebuah negara atau benua, silakan lakukan. Namun, jika Anda berpikir untuk memblokir tautan masuk dari pemerintah atau benua, pertimbangkan bahwa pfSense secara default memblokir semua lalu lintas masuk yang tidak diminta di WAN.
Itu berarti bahwa kecuali Anda memiliki port terbuka di WAN Anda, memblokir negara atau benua tidak berguna dan hanya akan menghabiskan memori tanpa alasan. Jika Anda memiliki port terbuka di WAN Anda, pastikan Anda tidak memblokir koneksi dari negara-negara yang ingin Anda izinkan untuk terhubung ke port terbuka Anda.
Alias adalah daftar alamat IP dalam pfSense. Dengan menggunakan alias, Anda dapat mengizinkan hanya negara-negara tertentu yang Anda pilih untuk mengakses port terbuka Anda. Namun, ada cara untuk membuat alias kustom dari database MaxMind GeoIP dalam pfBlockerNG yang dapat digunakan langsung sebagai sumber dalam aturan firewall pengalihan port Anda.
Karena pfSense secara otomatis memblokir semua lalu lintas yang tidak diizinkan secara eksplisit dalam aturan firewall, kita ingin membuat alias dari negara-negara yang akan kita izinkan melalui firewall. pfSense akan memblokir sisanya secara default.
Setel Tindakan menjadi Alias Asli.
Jika Anda memiliki port terbuka tetapi ingin tetap sederhana, Anda dapat memblokir koneksi masuk dari Top Spammers dan Proxy dan Satellite tanpa membuat alias kustom. Ingatlah bahwa ini hanya bermanfaat jika Anda memiliki port terbuka di WAN Anda.
Jika Anda tidak memiliki port terbuka di WAN Anda, hanya blokir lalu lintas keluar atau biarkan pemfilteran GeoIP dinonaktifkan.
Untuk memastikan bahwa lalu lintas kita sedang difilter. Kita dapat mencoba menghubungkan ke alamat IP yang diketahui ada dalam daftar blokir. Jika saya mencoba mengakses 1.13.9.177 (sebuah alamat IP yang terdapat dalam feed IPv4 pfBlockerNG saya) di browser saya, alamat IP tersebut tidak akan diterjemahkan ke nama domain, dan saya tidak dapat terhubung. Itulah yang kita inginkan.
Mari lanjutkan ke konfigurasi DNSBL pfBlocker.
Baiklah. Kami sudah mengonfigurasi pemfilteran IPv4, pemfilteran GeoIP, dan alias. Sekarang saatnya beralih ke penggunaan pfBlockerNG untuk memblokir iklan. Pemblockiran iklan dalam pfBlockerNG dicapai melalui DNS blackholing. Ini mengacu pada permintaan DNS Anda terhadap daftar jaringan iklan dan pelacak yang diketahui, dan memblokirnya pada tingkat DNS setiap kali ada kecocokan, menghasilkan internet bebas iklan. Hore!
Untuk menggunakan fitur DNSBL di pfBlockerNG, Anda harus menggunakan Pengurai DNS dalam pfSense untuk resolusi DNS Anda. Artinya, Anda tidak dapat menetapkan DNS host Anda melalui DHCP atau menggunakan Penerus DNS (dnsmasq) jika Anda ingin menggunakan fitur DNSBL.
Secara default, pfSense menggunakan Pengurai DNS di semua antarmuka. Jadi jika Anda tidak melakukan perubahan apa pun pada pengaturan Pengurai DNS, Anda baik-baik saja. Jika Anda membuat perubahan, konfigurasikan Pengurai untuk terikat pada LAN Anda (keluar) dan WAN Anda (masuk). Dan pilih antarmuka tipe LAN lainnya (antarmuka OPT) dan antarmuka tipe WAN (pengaturan multi-WAN, gateway VPN) lainnya yang ingin Anda filter dengan DNSBL.
Sekarang kita perlu menambahkan beberapa feed DNSBL.
Sekarang kita perlu memaksa pembaruan pfBlockerNG, seperti yang kita lakukan sebelumnya.
Setelah pembaruan selesai, kita dapat melihat bahwa feed DNSBL kita telah diperbarui.
Untuk memastikan bahwa pemfilteran DNSBL berfungsi, kita akan mencoba menghubungkan ke domain yang saya tambahkan ke DNSBL Custom_List: vungle.com. Jika saya mencoba mengakses vungle.com di browser saya, halaman blokir DNSBL akan ditampilkan dengan beberapa informasi yang membantu.
Jadi, itulah yang Anda butuhkan. Anda telah berhasil menginstal dan mengonfigurasi pfBlockerNG-devel di pfSense. Kami mengonfigurasi pemfilteran IPv4, pemfilteran GeoIP, serta pemfilteran DNSBL. Ketiga fitur ini membuat jaringan Anda lebih aman dan pribadi tanpa mengurangi kecepatan koneksi Anda.
Ketika jaringan Anda berkembang, Anda mungkin perlu membuka beberapa port tertentu di WAN Anda jika Anda ingin menjalankan server VPN atau jika Anda ingin menghosting server web yang dapat diakses dari internet. Ketika Anda melakukannya, pfBlockerNG akan menjadi alat yang bagus dalam toolbox keamanan Anda untuk membantu Anda mengamankan jaringan Anda dan mengontrol akses dari luar dengan detail.
Terkait: Cara mencari VPN terbaik