Cara Mengatur Penyaringan IP dan DNS Blackholing pada pfSense Menggunakan pfBlockerNG

Apa itu pfBlockerNG?

pfBlockerNG memiliki dua penggunaan inti:

Penyaringan lalu lintas masuk dan keluar

pfBlockerNG dapat menyaring lalu lintas masuk dan keluar berdasarkan daftar IP dan menerapkan pembatasan GeoIP dengan mengizinkan atau menolak lalu lintas dari/ke negara-negara tertentu. Fungsi terakhir ini sangat berguna jika Anda membuka port pada WAN Anda.

Memblokir iklan dan situs berbahaya melalui blackholing DNS

pfBlockerNG dapat memblokir iklan dan akses ke situs berbahaya melalui filtrasi DNS. Saat menjelajahi web, permintaan DNS Anda diperiksa terhadap daftar blokir. Jika ada kecocokan, permintaan akan diblokir. Ini adalah cara yang bagus untuk memblokir iklan tanpa menggunakan server proxy.

Kita akan melihat kedua kasus penggunaan ini dan akan menjelajahinya lebih detail saat kita menghadapinya masing-masing.

Panduan ini mengasumsikan bahwa Anda telah mengatur pfSense dengan antarmuka WAN dan LAN yang berfungsi.

Ayo mulai.

Menginstal pfBlockerNG-devel

Hal pertama yang perlu kita lakukan adalah menginstal pfBlockerNG.

1. Dari menu atas, pilih System > Package Manager. Anda akan dibawa ke tab Installed Packages pada Package Manager.
   .
2. Pilih Available Packages. Daftar paket yang tersedia akan ditampilkan.

   

3. Gulir ke bawah sampai Anda melihat pfBlockerNG. Ada dua entri untuk pfBlockerNG: pfBlockerNG dan pfBlockerNG-devel. Kami akan menginstal pfBlockerNG-devel. Meskipun akhiran “devel” berarti versi pengembangan (yaitu, perangkat lunak beta), itu sepenuhnya fungsional dan terus dikembangkan. Ini akan selalu dalam versi beta karena pengembang paket merasa lebih aman mempertimbangkannya sebagai perangkat lunak beta saat dia terus menambahkan fungsionalitas baru ke dalam paket.

   

4. Klik Install, di sebelah pfBlockerNG-devel. Jendela Package Installer akan muncul.
5. Klik Confirm. Proses instalasi dimulai.

   

6. Setelah instalasi selesai, Anda seharusnya melihat Success di bagian bawah jendela Package Installer. pfBlockerNG-devel kini terinstal.

   

Pengaturan Dasar

Sekarang bahwa pfBlockerNG-devel sudah terinstal, kita perlu mengonfigurasi paket kami. Dan kita akan mulai dengan penyaringan IP dan GeoIP.

Kami akan mengonfigurasi pfBlockerNG satu per satu. Pengaturan apa pun yang tidak disebutkan harus dibiarkan pada nilai default mereka.

1. Dari menu atas, pilih Firewall > pfBlockerNG. Wizard konfigurasi pfBlocker ditampilkan.
   
2. Anda dapat menjalankan wizard konfigurasi atau mengonfigurasi pfBlockerNG secara manual. Kita akan mengonfigurasi secara manual, jadi Anda dapat klik tanda merah DI SINI untuk menutup wizard. Anda akan dibawa ke halaman General pengaturan pfBlocker.

   

Umum / Pengaturan Umum

1. Cek kotak Aktifkan yang terletak di sebelah kanan pfBlockerNG. Ini akan mengaktifkan layanan.
2. Klik Simpan di bagian bawah halaman.
3. Kami akan meninggalkan pengaturan lainnya di halaman ini dengan nilai default mereka.

Penyaringan IPv4

IP / Konfigurasi IP

1. Pilih tab IP untuk mengakses halaman pengaturan IP. Untuk saat ini, jangan sentuh submenu yang muncul di bawahnya.

IP / Konfigurasi IP

1. Pilih tab IP untuk mengakses halaman pengaturan IP. Untuk saat ini, jangan sentuh submenu yang muncul di bawahnya.



IP / Konfigurasi MaxMind GeoIP

Seperti yang saya sebutkan di atas, fitur GeoIP pfBlockerNG memungkinkan Anda menyaring lalu lintas dari dan ke seluruh negara atau benua. Untuk melakukannya, pfBlocker menggunakan database MaxMind GeoIP, yang memerlukan kunci lisensi. Tautan dalam deskripsi kolom MaxMind License Key mengarahkan Anda ke halaman registrasi MaxMind. Kunci lisensi MaxMind ini gratis.

Isi formulir registrasi untuk mendapatkan kunci lisensi Anda. Setelah Anda memiliki kunci lisensi, masukkan ke dalam kolom MaxMind License Key.



Dan:



IP / Konfigurasi Antarmuka/Rules IP

Bagian ini menentukan antarmuka mana yang diterapkan penyaringan IPv4, IPv6, dan GeoIP pfBlockerNG untuk lalu lintas masuk dan keluar.

1. Pilih WAN dari kolom Aturan Firewall Masuk (dan antarmuka WAN lainnya yang mungkin Anda miliki dan ingin disaring).
2. Pilih LAN dari kolom Aturan Firewall Keluar (dan antarmuka berjenis LAN lainnya yang mungkin Anda miliki dan ingin disaring).
3. Aktifkan Aturan Mengambang. Aturan mengambang adalah aturan firewall khusus yang diterapkan sebelum aturan firewall reguler. Hal ini memastikan bahwa penyaringan pfBlockerNG terjadi segera setelah lalu lintas mencapai firewall. Manfaat lainnya adalah pfBlockerNG akan secara otomatis membuat aturan mengambang untuk Anda.
4. Klik Simpan di bagian bawah halaman.



Menambahkan Feed IPv4

Saatnya menambahkan beberapa daftar blokir ke pfBlockerNG. Meskipun Anda bebas untuk menambahkan feed kustom Anda, pfBlockerNG memiliki beberapa feed bawaan yang dapat kita aktifkan (istilah daftar dan feed dapat dipertukarkan dalam konteks ini).

Ini sangat praktis karena mencari daftar blokir di internet memakan waktu, dan banyak yang tidak berfungsi atau tidak lagi dikelola. Feed dalam pfBlocker adalah daftar aktif yang secara teratur diperbarui, jadi kita akan menggunakannya.

1. Pilih tab Feed.
2. Klik biru +, di sebelah PRI1. Ini adalah yang pertama. PRI1 adalah kumpulan feed, jadi terdiri dari beberapa feed, seperti yang akan kita lihat sebentar lagi. Setelah Anda mengklik biru +, Anda akan dibawa ke halaman IP / IPv4, di mana feed yang Anda pilih akan terdaftar. Dan hampir semua bidang yang relevan akan terisi secara otomatis.



IP / IPv4

Nama koleksi feed diisi bersama dengan deskripsinya. URL feed yang termasuk dalam koleksi dan deskripsi terkait mereka juga diisi. Namun, feed kami secara default diatur ke MATI. Kita perlu mengaktifkannya.



Tetapi sebelum melakukannya, kita perlu menghapus salah satu feed dari koleksi PRI1. Pulsedive, feed ke-7 dari atas, adalah daftar premium yang memerlukan kunci API berbayar. Kami tidak akan mendapatkan kunci API untuk tutorial ini. Klik tombol Hapus.



1. Setelah Anda menghapus Pulsedive, aktifkan semua feed dengan mengatur ke NYALA.

   

2. Gulir ke bawah ke bagian Pengaturan halaman.
3. Dari menu dropdown Tindakan, pilih Larang Keduanya. Ini akan memblokir lalu lintas dari dan ke alamat IP dalam daftar/feed. Anda dapat memilih hanya untuk melarang koneksi masuk atau keluar jika Anda mau. Hanya perlu diingat bahwa jika Anda hanya melarang lalu lintas masuk dan host di jaringan Anda menginisiasi koneksi keluar ke salah satu IP tersebut, tanggapan masuk dari IP tersebut akan diizinkan. Itu mungkin baik tergantung pada lingkungan Anda – hanya perlu diingat. Untuk contoh ini, saya akan memilih Larang Keduanya.
4. Klik Simpan Pengaturan IPv4 di bagian bawah halaman.

Anda dapat mengulangi langkah yang sama untuk IPv6 jika ISP Anda memberikan alamat IP IPv4 dan IPv6 kepada WAN Anda. Sebagian besar dari kita masih menggunakan jaringan IPv4 saja.

Pemfilteran GeoIP

Sebelum mengonfigurasi pemfilteran GeoIP, pertama-tama kita perlu memaksa pembaruan pfBlockerNG. pfBlocker secara otomatis melakukan pembaruan pada interval tertentu. Namun, untuk mengonfigurasi pemfilteran GeoIP, pfBlocker pertama-tama perlu mengambil database MaxMind, dan pembaruan yang dipaksa akan melakukannya.

1. Pilih tab Update dari pengaturan pfBlockerNG.
2. Klik Jalankan. Pembaruan dimulai.

   

3. Saat pembaruan selesai, Anda seharusnya melihat PROSES PEMBARUAN BERAKHIR di bagian bawah jendela Log di bawah Pengaturan Pembaruan.

   

4. Melalui jendela Log, kita bisa melihat bahwa kedua feed IPv4 dan database GeoIP telah diperbarui.

   Log IPv4

   

   Log GeoIP

   

5. Dari tab IP dalam pengaturan pfBlockerNG, pilih sub-menu GeoIP. Ringkasan GeoIP ditampilkan.
   

Ringkasan GeoIP terdiri dari feed alamat IP yang diorganisir berdasarkan benua, dengan dua kategori tambahan: Top Spammers dan Proxy dan Satellite. Top Spammers adalah daftar negara yang dikenal sebagai sumber serangan online yang sering. Dan Proxy dan Satellite adalah penyedia proxy anonim dan satelit yang dikenal.

Anda dapat memfilter lalu lintas ke/dari seluruh benua, atau Anda dapat menyesuaikan feed dengan memilih hanya negara-negara yang ingin Anda filter.

Mengubah daftar negara

1. Klik ikon pensil di sebelah feed yang ingin Anda edit.

   

2. Pilih negara-negara yang ingin Anda filter oleh pfBlockerNG.
3. Klik Simpan di bagian bawah halaman.

   

Mengonfigurasi blokir negara

1. Kembali ke menu GeoIP dalam pengaturan pfBlocker.
2. Seperti yang kita lakukan dengan daftar IPv4, dari menu drop-down Tindakan di sebelah kanan setiap bidang, pilih salah satu dari Blokir Masuk, Blokir Keluar, atau Blokir Keduanya.

   

Sekarang, ada beberapa hal yang perlu dipertimbangkan di sini. Jika Anda ingin memblokir koneksi keluar ke sebuah negara atau benua, silakan lakukan. Namun, jika Anda berpikir untuk memblokir tautan masuk dari pemerintah atau benua, pertimbangkan bahwa pfSense secara default memblokir semua lalu lintas masuk yang tidak diminta di WAN.

Itu berarti bahwa kecuali Anda memiliki port terbuka di WAN Anda, memblokir negara atau benua tidak berguna dan hanya akan menghabiskan memori tanpa alasan. Jika Anda memiliki port terbuka di WAN Anda, pastikan Anda tidak memblokir koneksi dari negara-negara yang ingin Anda izinkan untuk terhubung ke port terbuka Anda.

Alias adalah daftar alamat IP dalam pfSense. Dengan menggunakan alias, Anda dapat mengizinkan hanya negara-negara tertentu yang Anda pilih untuk mengakses port terbuka Anda. Namun, ada cara untuk membuat alias kustom dari database MaxMind GeoIP dalam pfBlockerNG yang dapat digunakan langsung sebagai sumber dalam aturan firewall pengalihan port Anda.

Membuat Alias GeoIP di pfBlockerNG

Karena pfSense secara otomatis memblokir semua lalu lintas yang tidak diizinkan secara eksplisit dalam aturan firewall, kita ingin membuat alias dari negara-negara yang akan kita izinkan melalui firewall. pfSense akan memblokir sisanya secara default.

1. Pergi ke sub-menu IPv4 dan klik Tambah.

   

2. Beri nama alias Anda dan berikan deskripsi.
3. Atur bidang Format ke GeoIP.
4. Atur bidang Status ke ON.

Setel Tindakan menjadi Alias Asli.

5. Ketik huruf pertama dari negara yang ingin Anda tambahkan ke alias. Pilih negara-negara yang ingin Anda tambahkan ke dalam alias. Daftar negara akan muncul.

   

6. Anda dapat menambahkan lebih banyak negara ke alias Anda dengan mengklik tombol hijau Tambahkan.

   

7. Atur Frekuensi Pembaruan ke Sekali sehari.
8. Klik Simpan Pengaturan IPv4 di bagian bawah halaman. Setelah Anda memaksa pembaruan pfBlockerNG, alias Anda akan tersedia untuk dimasukkan dalam aturan firewall Anda.

   

Jika Anda memiliki port terbuka tetapi ingin tetap sederhana, Anda dapat memblokir koneksi masuk dari Top Spammers dan Proxy dan Satellite tanpa membuat alias kustom. Ingatlah bahwa ini hanya bermanfaat jika Anda memiliki port terbuka di WAN Anda.

Jika Anda tidak memiliki port terbuka di WAN Anda, hanya blokir lalu lintas keluar atau biarkan pemfilteran GeoIP dinonaktifkan.

Pengujian Pemfilteran IPv4

Untuk memastikan bahwa lalu lintas kita sedang difilter. Kita dapat mencoba menghubungkan ke alamat IP yang diketahui ada dalam daftar blokir. Jika saya mencoba mengakses 1.13.9.177 (sebuah alamat IP yang terdapat dalam feed IPv4 pfBlockerNG saya) di browser saya, alamat IP tersebut tidak akan diterjemahkan ke nama domain, dan saya tidak dapat terhubung. Itulah yang kita inginkan.

Mari lanjutkan ke konfigurasi DNSBL pfBlocker.

DNSBL

Baiklah. Kami sudah mengonfigurasi pemfilteran IPv4, pemfilteran GeoIP, dan alias. Sekarang saatnya beralih ke penggunaan pfBlockerNG untuk memblokir iklan. Pemblockiran iklan dalam pfBlockerNG dicapai melalui DNS blackholing. Ini mengacu pada permintaan DNS Anda terhadap daftar jaringan iklan dan pelacak yang diketahui, dan memblokirnya pada tingkat DNS setiap kali ada kecocokan, menghasilkan internet bebas iklan. Hore!

Untuk menggunakan fitur DNSBL di pfBlockerNG, Anda harus menggunakan Pengurai DNS dalam pfSense untuk resolusi DNS Anda. Artinya, Anda tidak dapat menetapkan DNS host Anda melalui DHCP atau menggunakan Penerus DNS (dnsmasq) jika Anda ingin menggunakan fitur DNSBL.

Secara default, pfSense menggunakan Pengurai DNS di semua antarmuka. Jadi jika Anda tidak melakukan perubahan apa pun pada pengaturan Pengurai DNS, Anda baik-baik saja. Jika Anda membuat perubahan, konfigurasikan Pengurai untuk terikat pada LAN Anda (keluar) dan WAN Anda (masuk). Dan pilih antarmuka tipe LAN lainnya (antarmuka OPT) dan antarmuka tipe WAN (pengaturan multi-WAN, gateway VPN) lainnya yang ingin Anda filter dengan DNSBL.

Mengkonfigurasi DNSBL

1. Pilih tab DNSBL.
2. Aktifkan DNSBL.
3. Di sebelah Mode DNSBL, pilih Mode Python Unbound.

   

4. Gulir ke bagian Konfigurasi DNSBL.
5. Aktifkan Izin Aturan Firewall dan pilih LAN Anda dan antarmuka tipe LAN lainnya yang ingin Anda saring dengan DNSBL. Ini akan secara otomatis membuat aturan firewall mengambang (seperti yang kita lakukan dengan pemfilteran IPv4) sehingga pemfilteran DNSBL akan terjadi segera setelah lalu lintas mencapai firewall.
6. Klik Simpan Pengaturan DNSBL di bagian bawah halaman.

   

Sekarang kita perlu menambahkan beberapa feed DNSBL.

Menambahkan Feed DNSBL

1. Pilih tab Feed.
2. Gulir ke bawah hingga Anda melihat Kategori DNSBL di sebelah kiri. Entri pertama adalah EasyList.
3. Klik tombol biru + di sebelah kiri EasyList. Anda akan diarahkan ke halaman Grup DNSBL, di mana feed yang Anda pilih akan terdaftar, seperti pada pemfilteran IPv4. Dan hampir semua bidang yang relevan akan diisi secara otomatis.

   

4. Hapus semua feed kecuali yang pertama dan terakhir: EasyList dan EasyList Privacy.
5. Atur sisa feed ke ON.

   

6. Gulir ke bawah ke bagian Pengaturan.
7. Atur Tindakan ke Unbound.
8. Klik tanda + di sebelah kanan DNSBL Custom_List. Jendela DNSBL Custom_List akan ditampilkan.
9. Masukkan vungle.com dalam jendela DNSBL Custom_List. Kami menambahkan domain ini agar kami bisa memastikan pemfilteran DNSBL berfungsi dengan mencoba mengakses domain yang diketahui diblokir.
10. Klik Simpan Pengaturan DNSBL di bagian bawah halaman.

Menggugurkan pembaruan pfBlockerNG

Sekarang kita perlu memaksa pembaruan pfBlockerNG, seperti yang kita lakukan sebelumnya.

1. Pilih tab Pembaruan. Anda akan diarahkan ke halaman pembaruan pfBlockerNG.
2. Klik Jalankan. Pembaruan dimulai.

   

Setelah pembaruan selesai, kita dapat melihat bahwa feed DNSBL kita telah diperbarui.

Menguji DNSBL

Untuk memastikan bahwa pemfilteran DNSBL berfungsi, kita akan mencoba menghubungkan ke domain yang saya tambahkan ke DNSBL Custom_List: vungle.com. Jika saya mencoba mengakses vungle.com di browser saya, halaman blokir DNSBL akan ditampilkan dengan beberapa informasi yang membantu.

Penutup

Jadi, itulah yang Anda butuhkan. Anda telah berhasil menginstal dan mengonfigurasi pfBlockerNG-devel di pfSense. Kami mengonfigurasi pemfilteran IPv4, pemfilteran GeoIP, serta pemfilteran DNSBL. Ketiga fitur ini membuat jaringan Anda lebih aman dan pribadi tanpa mengurangi kecepatan koneksi Anda.

Ketika jaringan Anda berkembang, Anda mungkin perlu membuka beberapa port tertentu di WAN Anda jika Anda ingin menjalankan server VPN atau jika Anda ingin menghosting server web yang dapat diakses dari internet. Ketika Anda melakukannya, pfBlockerNG akan menjadi alat yang bagus dalam toolbox keamanan Anda untuk membantu Anda mengamankan jaringan Anda dan mengontrol akses dari luar dengan detail.

Terkait: Cara mencari VPN terbaik