pfSense, oldukça güçlü bir açık kaynaklı güvenlik duvarı/yönlendirici çözümüdür. FreeBSD temelli olan pfSense, güvenliğe büyük bir odaklanma sahiptir. “Sade” bir yapılandırmada bile, pfSense’i marketten satın alabileceğiniz herhangi bir yönlendiriciden çok daha güvenli olacaktır.
Kutudan çıkar çıkmaz, pfSense size güvence altına alınmış ağ kurulumunuzu özelleştirmek için birçok araç sunar. Ancak varsayılan araçlarının üstünde, pfSense, kurulumunuzu daha da geliştirmek için kurabileceğiniz eklenti paketlerinin bir deposuna sahiptir.
İlgili rehber: pfSense, Squid & SquidGuard ile Tüm Cihazlarınızda Reklamları Nasıl Engellersiniz
Makalenin kısa özeti:
pfSense, FreeBSD temelli güçlü bir açık kaynaklı güvenlik duvarı/yönlendirici çözümüdür ve marketten satın alınabilecek yönlendiricilere göre daha yüksek bir güvenlik seviyesi sunar.
Varsayılan araçlarına ek olarak, pfSense, IP ve DNS engelleme listeleri kullanarak gelen ve giden bağlantıları ince bir şekilde ayarlama yeteneği sunan pfBlockerNG gibi eklenti paketleri sunar.pfBlockerNG’nin iki temel kullanımı, IP listelerine karşı gelen ve giden trafiği filtrelemeyi ve GeoIP kısıtlamalarını uygulamayı ve DNS filtreleme aracılığıyla reklamları ve zararlı siteleri engellemeyi içerir.
DNS isteklerini engelleme listeleriyle kontrol ederek, pfBlockerNG zararlı içeriğe erişimi engeller ve proxy sunucusuna ihtiyaç duymadan etkili bir reklam engelleme çözümü olarak hizmet verir.
pfBlockerNG’nin iki temel kullanımı vardır:
Gelen & Giden trafik filtreleme
pfBlockerNG, IP listelerine karşı gelen ve giden trafiği filtreleyebilir ve belirli ülkelere olan trafiği izin vererek ya da reddederek GeoIP kısıtlamalarını uygulayabilir. Eğer WAN portlarınızı açarsanız, bu sonuncu özellik oldukça kullanışlı olabilir.
Reklamları ve zararlı sitelere erişimi DNS kara deliği aracılığıyla engelleme
pfBlockerNG, DNS filtreleme yoluyla reklamları ve zararlı sitelere erişimi engelleyebilir. İnternet’te gezinirken, DNS istekleriniz bir engelleme listesiyle kontrol edilir. Eğer bir eşleşme varsa, istek engellenir. Bu, bir proxy sunucusu kullanmadan reklamları engelleme konusunda harika bir yol.
Her iki kullanım durumuna da bakacağız ve her biriyle ilgilenirken daha fazla detaya gireceğiz.
Bu rehber, zaten işlevsel WAN ve LAN arayüzleriyle pfSense’i kurduğunuzu varsaymaktadır.
Hadi başlayalım.
İlk yapmamız gereken şey pfBlockerNG’yi kurmak.
pfBlockerNG-devel kurulduğuna göre, paketimizi yapılandırmamız gerekiyor. Ve IP ve GeoIP filtrelemesiyle başlayacağız.
pfBlockerNG‘yi bölüm bölüm yapılandıracağız. Bahsedilmeyen ayarlar varsayılan değerlerinde bırakılmalıdır.
Yukarıda bahsettiğim gibi, pfBlockerNG’nin GeoIP özelliği, trafik akışını tüm ülkelerle veya kıtalarla filtrelemenizi sağlar. Bunu yapmak için pfBlocker, MaxMind GeoIP veritabanını kullanır ve bu bir lisans anahtarı gerektirir. MaxMind Lisans Anahtarı alanının açıklamasında yer alan bir bağlantı sizi MaxMind kayıt sayfasına yönlendirir. MaxMind lisans anahtarı ücretsizdir.
Lisans anahtarınızı almak için kayıt formunu doldurun. Lisans anahtarınızı aldığınızda, MaxMind Lisans Anahtarı alanına ekleyin.
Ve:
Bu bölüm, pfBlockerNG’nin IPv4, IPv6 ve GeoIP filtrelemenin hangi gelen ve giden arayüz(ler)e uygulandığını belirler.
Şimdi pfBlockerNG’ye bazı engelleme listeleri eklemenin zamanı geldi. Kendi özel beslemelerinizi eklemekte özgürsünüz, ancak pfBlockerNG’nin etkinleştirebileceğimiz bazı yerleşik beslemeleri var (bu bağlamda liste ve besleme terimleri birbirinin yerine kullanılabilir).
Bu, internet üzerinde engelleme listeleri aramanın zaman alıcı olduğu ve birçok listesinin çalışmadığı ya da artık sürdürülmediği için çok pratiktir. pfBlocker’deki beslemeler, düzenli olarak güncellenen canlı listelerdir, bu yüzden bu listeleri kullanacağız.
Besleme koleksiyonunun adı, açıklamasıyla birlikte doldurulmuştur. Koleksiyonda bulunan besleme URL’leri ve ilgili açıklamaları da doldurulmuştur. Ancak, beslemelerimiz varsayılan olarak KAPALI konumundadır. Bunları etkinleştirmemiz gerekiyor.
Ancak bunu yapmadan önce, PRI1 koleksiyonundan bir beslemeyi silmemiz gerekiyor. Üstten 7. besleme olan Pulsedive, ücretli bir API anahtarı gerektiren premium bir listedir. Bu eğitim için API anahtarını almayacağız. Sil butonuna tıklayın.
Eğer İSS’niz WAN’ınıza bir IPv4 ve bir IPv6 IP adresi atıyorsa aynı adımları IPv6 için de tekrar edebilirsiniz. Çoğumuz hala sadece IPv4 ağlarında bulunmaktayız.
GeoIP filtrelemesini yapılandırmadan önce, öncelikle pfBlockerNG’nin güncellenmesini zorlamamız gerekiyor. pfBlocker, belirli aralıklarla otomatik olarak kendini günceller. Ancak GeoIP filtrelemesini yapılandırmak için pfBlocker’ın önce MaxMind veritabanını çekmesi gerekiyor ve zorla bir güncelleme tam da bunu yapacak.
GeoIP Logları
GeoIP Özeti, IP adresi beslemelerini kıtaya göre organize eder ve iki ek kategori içerir: En Çok Spam Gönderenler ve Proxy ve Uydu. En Çok Spam Gönderenler, sıkça çevrimiçi saldırı kaynağı olan ülkelerin listesidir. Ve Proxy ve Uydu, bilinen anonim proxy ve uydu sağlayıcılarıdır.
Tüm bir kıtadan gelen/giden trafiği filtreleyebilir veya sadece filtrelemek istediğiniz ülkeleri seçerek beslemeyi ince ayar yapabilirsiniz.
Şimdi, burada dikkate almanız gereken bazı şeyler var. Bir ülkeye veya kıtaya giden bağlantıları engellemek isterseniz, buyurun yapın. Ancak, bir hükümetten veya kıtadan gelen bağlantıları engellemeyi düşünüyorsanız, pfSense’in varsayılan olarak WAN’da tüm istenmeyen gelen trafiği engellediğini unutmayın.
Bu, WAN üzerinde açık portlarınız olmadıkça, ülkeleri veya kıtaları engellemenin işe yaramayacağı ve sadece hafızayı gereksiz yere tüketeceği anlamına gelir. WAN üzerinde açık portlarınız varsa, açık port(lar)ınıza bağlanmasını istediğiniz ülkelerden bağlantıları engellemediğinizden emin olun.
Takma adlar, pfSense’e özgü olan IP adresi listeleridir. Takma adları kullanarak, sadece seçtiğiniz belirli ülkelerin açık portlarınıza erişmesine izin verebilirsiniz. Ancak, pfBlockerNG içinde MaxMind GeoIP veritabanından özel takma adlar oluşturabileceğiniz bir yol vardır ve bu doğrudan port yönlendirme güvenlik duvarı kurallarınızda kaynak olarak kullanılabilir.
pfSense, güvenlik duvarı kurallarında açıkça izin verilmeyen herhangi bir trafiği otomatik olarak engellediği için, güvenlik duvarından geçireceğimiz ülkelerin bir takma adını oluşturmak istiyoruz. pfSense geri kalanını varsayılan olarak engelleyecektir.
Eğer açık portlarınız varsa ama işleri basit tutmak istiyorsanız, özel bir takma ad oluşturmadan En Çok Spam Gönderenler ve Proxy ve Uydudan gelen bağlantıları engelleyebilirsiniz. Bunu sadece WAN’ınızda açık portlarınız varsa kullanışlı olduğunu unutmayın.
Eğer WAN’ınızda herhangi bir açık portunuz yoksa, sadece giden trafiği engelleyin ya da GeoIP filtrelemesini devre dışı bırakın.
Trafiklerimizin filtrelendiğinden emin olmak için. Engellenecekler listesinde bilinen bir IP adresine bağlanmayı deneyebiliriz. Eğer tarayıcım da 1.13.9.177 IP adresine (pfBlockerNG IPv4 beslemelerimde bulunan bir IP) erişmeye çalışırsam, IP adresi bir domain adına çevrilemez ve bağlanamam. İşte tam da istediğimiz bu.
Şimdi pfBlocker’ın DNSBL konfigürasyonuna geçelim.
Tamam. IPv4 filtrelemesini, GeoIP filtrelemesini ve takma adları ayarladık. Şimdi pfBlockerNG’yi reklam engellemek için kullanma zamanı. pfBlockerNG’de reklam engelleme, DNS karalama listesiyle gerçekleştirilir. Bu, DNS isteklerinizi bilinen reklam ağları ve izleyiciler listesiyle karşılaştırır ve eşleşme olduğunda DNS seviyesinde bunları engeller, sonuç olarak reklamsız bir internet deneyimi yaşatır. Harika!
pfBlockerNG’deki DNSBL özelliğini kullanmak için, DNS çözümlemesi için pfSense’teki DNS Çözümleyici‘yi kullanıyor olmalısınız. Bu, DNSBL özelliğini kullanmak istiyorsanız, ana bilgisayarlarınızın DNS’ini DHCP ile atayamayacağınız veya DNS İletici (dnsmasq) kullanamayacağınız anlamına gelir.
Varsayılan olarak, pfSense tüm arayüzlerde DNS Çözümleyici’yi kullanır. Bu nedenle DNS Çözümleyici ayarlarında herhangi bir değişiklik yapmadıysanız sorun yok. Değişiklik yaptıysanız, Çözümleyici’yi LAN’ınıza (giden) ve WAN’ınıza (gelen) bağlamak üzere yapılandırın. Ve DNSBL’nin filtreleneceği diğer LAN tipi (OPT arayüzleri) ve WAN tipi (çoklu WAN kurulumu, VPN ağ geçitleri) arayüzleri seçin.
Şimdi bazı DNSBL beslemeleri eklememiz gerekiyor.
Tıpkı yukarıda yaptığımız gibi şimdi pfBlockerNG’nin güncellemesini zorlamamız gerekiyor.
Güncelleme tamamlandığında, DNSBL beslemelerimizin güncellendiğini görebiliriz.
DNSBL filtrelemenin çalıştığından emin olmak için, DNSBL Özel_Listesi‘ne eklediğim domain olan vungle.com’a bağlanmayı deneyeceğiz. Tarayıcım üzerinden vungle.com’a erişmeye çalıştığımda, DNSBL engelleme sayfası bazı yardımcı bilgilerle birlikte görüntülenir.
Not: pfBlocker’ın DNSBL’si bu engelleme sayfasını sunabilen mini bir web sunucusunu içerir. IPv4, IPv6 ve GeoIP filtreleme, pfSense güvenlik duvarının mevcut işlevselliğini genişletir ve bir engelleme sayfasını görüntülemeden IP adreslerini engeller veya izin verir.
İşte buradasınız. pfSense’te pfBlockerNG-devel’i başarıyla kurduk ve yapılandırdık. IPv4 filtrelemesi, GeoIP filtrelemesi ve tabii ki DNSBL filtrelemesi yaptık. Bu üçü de ağınızı daha güvenli ve özel hale getirirken bağlantınızı yavaşlatmaz.
Ağınız büyüdükçe, bir VPN sunucusu çalıştırmak ya da internetten erişilebilir bir web sunucusu barındırmak istiyorsanız WAN üzerinde belirli portları açmanız gerekebilir. Bunu yaptığınızda, pfBlockerNG dışarıdan erişimi granüler olarak kontrol etmenize ve ağınızı güvence altına almanıza yardımcı olacak güzel bir güvenlik aracınız olacak.