pfSense este o soluție de firewall/router open-source extrem de puternică. Bazat pe FreeBSD, pfSense pune un accent puternic pe securitate. Chiar și într-o configurație „standard”, pfSense va fi mult mai sigur decât orice router pe care l-ai putea cumpăra.
În configurația sa inițială, pfSense oferă multe unelte pentru a-ți personaliza rețeaua securizată. Dar, pe lângă instrumentele sale implicite, pfSense găzduiește și un depozit de pachete suplimentare pe care le poți instala pentru a îmbunătăți și mai mult configurarea ta.
Ghid asociat: Cum să blochezi reclamele pe toate dispozitivele tale cu pfSense, Squid & SquidGuard
Rezumat scurt al articolului:
pfSense este o soluție robustă de firewall/router bazată pe FreeBSD, oferind un nivel mai ridicat de securitate decât routerele gata fabricate.
În plus față de instrumentele sale standard, pfSense oferă pachete adiționale precum pfBlockerNG, care îmbunătățește funcționalitatea firewall-ului permițând ajustarea fină a conexiunilor de intrare și ieșire folosind listele de blocare IP și DNS.Cele două funcții principale ale pfBlockerNG includ filtrarea traficului de intrare și ieșire împotriva listelor IP și aplicarea restricțiilor GeoIP, precum și blocarea reclamelor și a site-urilor dăunătoare prin filtrarea DNS.
Verificând cererile DNS împotriva listelor de blocare, pfBlockerNG previne accesul la conținut dăunător și servește drept o soluție eficientă de blocare a reclamelor fără nevoia unui server proxy.
pfBlockerNG are două funcționalități principale:
Filtrarea traficului de intrare și ieșire
pfBlockerNG poate filtra traficul de intrare și ieșire în funcție de listele IP și poate aplica restricții GeoIP permițând sau negând traficul către/dinspre anumite țări. Această ultimă funcționalitate poate fi foarte utilă dacă deschizi porturi pe WAN-ul tău.
Blocarea reclamelor și a site-urilor dăunătoare prin „DNS Blackholing”
pfBlockerNG poate bloca reclamele și accesul la site-uri dăunătoare prin filtrarea DNS. Navigând pe web, cererile tale DNS sunt verificate față de o listă de blocare. Dacă există o potrivire, cererea este blocată. Este o metodă excelentă de a bloca reclamele fără a utiliza un server proxy.
Vom analiza ambele scenarii și vom detalia mai mult pe măsură ce abordăm fiecare dintre ele.
Acest ghid presupune că ai configurat deja pfSense cu interfețe WAN și LAN funcționale.
Hai să începem.
Primul lucru pe care trebuie să-l facem este să instalăm pfBlockerNG.
Acum că pfBlockerNG-devel este instalat, trebuie să configurăm pachetul nostru. Vom începe cu filtrarea IP și GeoIP.
Vom configura secțiunea pfBlockerNG pas cu pas. Orice setări care nu sunt menționate ar trebui lăsate la valorile lor implicite.
După cum am menționat mai sus, funcția GeoIP a pfBlockerNG vă permite să filtrați traficul către și dinspre întregi țări sau continente. Pentru a face acest lucru, pfBlocker folosește baza de date MaxMind GeoIP, care necesită o cheie de licență. Un link în descrierea câmpului Cheia de Licență MaxMind vă duce la pagina de înregistrare MaxMind. Cheia de licență MaxMind este gratuită.
Completați formularul de înregistrare pentru a obține cheia dvs. de licență. Odată ce aveți cheia dvs. de licență, introduceți-o în câmpul Cheia de Licență MaxMind.
Și:
Această secțiune determină pe care interfață(e) intrare și ieșire se aplică filtrarea pfBlockerNG’s IPv4, IPv6 și GeoIP.
A venit timpul să adăugăm niște liste de blocare în pfBlockerNG. Deși puteți adăuga feed-uri personalizate, pfBlockerNG are anumite feed-uri integrate pe care le putem activa (termenii listă și feed sunt interschimbabili în acest context).
Acest lucru este foarte practic, deoarece căutarea listelor de blocare pe internet durează și multe dintre ele nu funcționează sau nu mai sunt întreținute. Feed-urile din pfBlocker sunt liste active care sunt actualizate regulat, așa că le vom folosi.
Numele colecției de feed-uri este completat împreună cu descrierea sa. URL-urile de feed incluse în colecție și descrierile asociate sunt, de asemenea, populate. Cu toate acestea, feed-urile noastre sunt setate în mod implicit pe OFF. Trebuie să le activăm.
Dar înainte de asta, trebuie să ștergem unul dintre feed-urile din colecția PRI1. Pulsedive, al 7-lea feed de la început, este o listă premium care necesită o cheie API plătită. Nu vom obține cheia API pentru acest tutorial. Click pe butonul Șterge.
Puteți repeta aceiași pași pentru IPv6 dacă ISP-ul dvs. atribuie o adresă IP IPv4 și una IPv6 pentru WAN. Majoritatea dintre noi suntem încă pe rețele doar cu IPv4.
Înainte de a configura filtrarea GeoIP, trebuie mai întâi să forțăm o actualizare a pfBlockerNG. pfBlocker se actualizează automat la intervale fixe. Dar pentru a configura filtrarea GeoIP, pfBlocker trebuie să descarce mai întâi baza de date MaxMind, și o actualizare forțată va face exact acest lucru.
Log-uri GeoIP
Sumarul GeoIP constă în feed-uri de adrese IP organizate după continent, cu două categorii suplimentare: Top Spammers și Proxy și Satelit. Top Spammers este o listă cu țările cunoscute ca fiind o sursă frecventă de atacuri online. Iar Proxy și Satelit sunt furnizori cunoscuți de proxy și satelit anonimi.
Puteți filtra traficul către/dintr-un întreg continent sau puteți regla feed-ul selectând doar țările pe care doriți să le filtrați.
Acum, sunt anumite aspecte de luat în considerare. Dacă dorești să blochezi conexiunile ieșite către o țară sau continent, fă-o fără ezitare. Cu toate acestea, dacă te gândești să blochezi legăturile de intrare dintr-un guvern sau continent, reține că pfSense blochează implicit tot traficul de intrare nesolicitat pe WAN.
Asta înseamnă că, dacă nu ai porturi deschise pe WAN, blocarea țărilor sau continentelor este inutilă și va consuma memorie în zadar. Dacă ai porturi deschise pe WAN, asigură-te că nu blochezi conexiunile din țările pe care dorești să le permiți să se conecteze la port(urile) tale deschise.
Aliasurile sunt liste cu adrese IP care sunt native pentru pfSense. Folosind aliasuri, poți permite doar țărilor specifice pe care le-ai selectat să acceseze porturile tale deschise. Cu toate acestea, există o modalitate de a crea aliasuri personalizate din baza de date MaxMind GeoIP în pfBlockerNG care pot fi utilizate direct ca sursă în regulile tale de redirecționare a porturilor din firewall.
Deoarece pfSense blochează automat orice trafic care nu este permis explicit în regulile firewall-ului, vrem să creăm un alias al țărilor pe care le vom permite prin firewall. pfSense va bloca restul implicit.
Setează Acțiunea ca Alias Native.
Dacă ai porturi deschise, dar dorești să menții totul simplu, poți bloca conexiunile de intrare de la Top Spammers și Proxy și Satelit fără a crea un alias personalizat. Reține că aceasta este utilă doar dacă ai porturi deschise pe WAN.
Dacă nu ai porturi deschise pe WAN, blochează doar traficul de ieșire sau lasă filtrarea GeoIP dezactivată.
Pentru a ne asigura că traficul nostru este filtrat, putem încerca să ne conectăm la o adresă IP cunoscută din lista de blocare. Dacă încerc să accesez 1.13.9.177 (o adresă IP conținută în feedurile mele pfBlockerNG IPv4) în browserul meu, adresa IP nu este tradusă într-un nume de domeniu și nu pot să mă conectez. Asta este ceea ce dorim.
Hai să trecem la configurarea DNSBL a pfBlocker.
Bine. Am configurat filtrarea IPv4, filtrarea GeoIP și alias-urile. E timpul să trecem la utilizarea pfBlockerNG pentru blocarea reclamelor. Blocarea reclamelor în pfBlockerNG se realizează prin intermediul „DNS blackholing” (găurilor negre DNS). Aceasta compară cererile tale DNS cu o listă de rețele de publicitate și urmăritori cunoscuți și le blochează la nivelul DNS atunci când există o potrivire, rezultând într-un internet fără reclame. Ura!
Pentru a utiliza funcția DNSBL în pfBlockerNG, trebuie să folosești DNS Resolver în pfSense pentru rezolvarea DNS. Acest lucru înseamnă că nu poți să atribui DNS gazdelor tale prin DHCP sau să folosești Forwarder-ul DNS (dnsmasq) dacă dorești să utilizezi funcția DNSBL.
În mod implicit, pfSense folosește DNS Resolver pe toate interfețele. Deci, dacă nu ai făcut nicio modificare la setările DNS Resolver, ești în regulă. Dacă ai făcut modificări, configurează Resolver-ul să se conecteze la rețeaua ta LAN (ieșire) și la WAN (intrare). Și selectează orice alte interfețe de tip LAN (OPT) și interfețe de tip WAN (configurare multi-WAN, gateway-uri VPN) pe care dorești ca DNSBL să le filtreze.
Acum trebuie să adăugăm câteva fluxuri DNSBL.
Acum trebuie să forțăm o actualizare a pfBlockerNG, așa cum am făcut mai sus.
Odată ce actualizarea este completă, putem vedea că fluxurile noastre DNSBL au fost actualizate.
Pentru a ne asigura că filtrarea DNSBL funcționează, vom încerca să ne conectăm la domeniul pe care l-am adăugat la Lista personalizată DNSBL: vungle.com. Dacă încerc să accesez vungle.com în browserul meu, pagina de blocare DNSBL este afișată cu câteva informații utile.
Notă: DNSBL al pfBlocker include un mini server web care poate afișa această pagină de blocare. Filtrările IPv4, IPv6 și GeoIP extind funcționalitatea existentă a firewall-ului pfSense și blochează sau permit adrese IP fără a afișa o pagină de blocare.
Așadar, asta este. Ai instalat și configurat cu succes pfBlockerNG-devel în pfSense. Am configurat filtrarea IPv4, filtrarea GeoIP, precum și filtrarea DNSBL. Toate aceste trei crește securitatea și confidențialitatea rețelei tale fără a încetini conexiunea.
Pe măsură ce rețeaua ta se extinde, s-ar putea să ai nevoie să deschizi anumite porturi pe WAN dacă dorești să rulezi un server VPN sau dacă vrei să găzduiești un server web care să fie accesibil din internet. Când faci asta, pfBlockerNG va fi un instrument valoros în trusa ta de securitate pentru a-ți consolida rețeaua și a controla în detaliu accesul din exterior.
Relaționat: Cum să alegi cele mai bune VPN-uri