I-install ug I-configure ang pfBlockerNg para sa DNS Black Listing sa pfSense Firewall

Sa una nga artikulo ang pag-instalar sa usa ka kusgan nga solusyon sa firewall nga nakabase sa FreeBSD nga nailhan nga pfSense gihisgutan. Ang pfSense, sama sa nahisgutan sa una nga artikulo, usa ka kusgan kaayo ug dali nga solusyon sa firewall nga magamit sa usa ka karaan nga kompyuter nga mahimo’g wala’y nahimo.

Kini nga artikulo maghisgot bahin sa usa ka nindot nga add-on nga pakete alang sa pfsense nga gitawag pfBlockerNG.

Ang pfBlockerNG usa ka pakete nga mahimong ma-install sa pfSense aron mahatagan ang tagdumala sa firewall nga adunay katakus sa pagpalapad sa mga kapabilidad sa firewall lapas sa tradisyonal nga stateful nga L2/L3/L4 nga firewall.

Samtang ang mga kapabilidad sa mga tig-atake ug mga kriminal sa cyber nagpadayon sa pag-uswag, kinahanglan usab ang mga depensa nga gibutang aron mapugngan ang ilang mga paningkamot. Sama sa bisan unsang butang sa kalibutan sa kompyuter, wala’y usa ka solusyon nga nag-ayo sa tanan nga produkto didto.

Ang pfBlockerNG naghatag sa pfSense og katakus sa firewall sa paghimo sa pagtugot/paglimud sa mga butang nga gibase sa mga desisyon sama sa geolocation sa usa ka IP address, ang domain name sa usa ka kapanguhaan, o ang Alexa nga mga rating sa partikular nga mga website.

Ang abilidad sa pagpugong sa mga butang sama sa mga ngalan sa domain labi ka mapuslanon tungod kay kini nagtugot sa mga tigdumala sa pagpugong sa mga pagsulay sa internal nga mga makina nga misulay sa pagkonektar sa nahibal-an nga dili maayo nga mga domain (sa laing pagkasulti, mga domain nga mahimong nahibal-an nga adunay malware, ilegal nga sulud, o uban pa. malimbungon nga mga piraso sa datos).

Kini nga giya maglakaw pinaagi sa pag-configure sa usa ka pfSense firewall device aron magamit ang pfBlockerNG nga pakete ingon man ang pipila ka sukaranan nga mga pananglitan sa mga lista sa block sa domain nga mahimong idugang/i-configure sa tool sa pfBlockerNG.

Kini nga artikulo maghimo usa ka magtiayon nga mga pangagpas ug magtukod sa una nga artikulo sa pag-install bahin sa pfSense. Ang mga pangagpas mao ang mosunod:

  • Ang pfSense na-install na ug walay mga lagda nga gi-configure karon (limpyo nga slate).
  • Ang firewall aduna lang WAN ug LAN port (2 ports).
  • Ang IP scheme nga gigamit sa LAN nga bahin mao ang 192.168.0.0/24.

Kinahanglang hinumdoman nga ang pfBlockerNG mahimong ma-configure sa usa na nga nagdagan/na-configure nga pfSense firewall. Ang hinungdan sa kini nga mga pangagpas dinhi alang lamang sa katin-awan ug daghang mga buluhaton nga mahuman, mahimo pa nga buhaton sa usa ka dili limpyo nga slate pfSense nga kahon.

Ang hulagway sa ubos mao ang lab diagram para sa pfSense environment nga gamiton niini nga artikulo.

I-install ang pfBlockerNG para sa pfSense

Uban sa lab nga andam na nga moadto, kini ang panahon sa pagsugod! Ang unang lakang mao ang pagkonektar sa web interface alang sa pfSense firewall. Pag-usab kini nga lab nga palibot naggamit sa 192.168.0.0/24 network nga ang firewall naglihok isip ganghaan nga adunay adres nga 192.168.0.1. Ang paggamit sa web browser ug pag-navigate sa 'https://192.168.0.1' magpakita sa pfSense login page.

Ang ubang mga browser mahimong moreklamo mahitungod sa SSL certificate, kini mao ang normal tungod kay ang sertipiko sa kaugalingon gipirmahan sa pfSense firewall. Mahimo nimo nga luwas nga dawaton ang mensahe sa pasidaan ug kung gusto, ang usa ka balido nga sertipiko nga gipirmahan sa usa ka lehitimong CA mahimong ma-install apan wala sa sulud sa kini nga artikulo.

Human sa malampuson nga pag-klik sa 'Advanced' ug dayon 'Add Exception ...', i-klik aron makumpirma ang eksepsiyon sa seguridad. Ang panid sa pag-login sa pfSense magpakita ug tugotan ang tagdumala sa pag-log in sa appliance sa firewall.

Kung naka-log in sa panguna nga panid sa pfSense, i-klik ang drop down nga 'System' ug dayon pilia ang 'Package Manager'.

Ang pag-klik niini nga link mausab ngadto sa package manager window. Ang unang panid nga i-load mao ang tanan nga kasamtangan nga gi-install nga mga pakete ug mahimong blangko (sa makausa pa kini nga giya nag-ingon nga usa ka limpyo nga pag-install sa pfSense). Pag-klik sa teksto nga 'Available Packages' aron mahatagan usa ka lista sa mga ma-install nga pakete para sa pfSense.

Kung ma-load na ang panid nga 'Available Packages', i-type ang 'pfblocker' sa kahon nga 'Search term' ug i-klik ang 'Search'. Ang una nga butang nga gibalik kinahanglan nga pfBlockerNG. Pangitaa ang 'Install' nga buton sa tuo sa pfBlockerNG nga paghulagway ug i-klik ang '+' aron ma-install ang package.

Ang panid i-reload ug hangyoon ang tagdumala sa pagkumpirma sa pag-install pinaagi sa pag-klik sa 'Kumpirma'.

Kung makumpirma, ang pfSense magsugod sa pag-install sa pfBlockerNG. Ayaw pag-navigate palayo sa panid sa installer! Paghulat hangtud nga ang panid magpakita sa malampuson nga pag-instalar.

Kung nahuman na ang pag-install, ang pagsulud sa pfBlockerNG mahimong magsugod. Ang una nga buluhaton nga kinahanglan makompleto bisan pa mao ang pipila ka mga pagpatin-aw kung unsa ang mahitabo kung ang pfBlockerNG na-configure sa husto.

Kung ma-configure na ang pfBlockerNG, ang mga hangyo sa DNS alang sa mga website kinahanglan nga ma-intercept sa pfSense firewall nga nagpadagan sa pfBlockerNG software. Ang pfBlockerNG unya adunay na-update nga mga lista sa nahibal-an nga dili maayo nga mga dominyo nga gimapa sa usa ka dili maayo nga IP address.

Ang pfSense firewall kinahanglan nga makapugong sa mga hangyo sa DNS aron ma-filter ang dili maayo nga mga dominyo ug mogamit usa ka lokal nga solusyon sa DNS nga nailhan nga UnBound. Kini nagpasabot nga ang mga kliyente sa LAN interface kinahanglang mogamit sa pfSense firewall isip DNS resolver.

Kung ang kliyente mangayo usa ka domain nga naa sa mga lista sa block sa pfBlockerNG, unya ang pfBlockerNG magbalik usa ka sayup nga adres sa ip para sa domain. Atong sugdan ang proseso!

pfBlockerNG Configuration para sa pfSense

Ang unang lakang mao ang paghimo sa UnBound DNS resolver sa pfSense firewall. Aron mahimo kini, i-klik ang drop down menu nga 'Serbisyo' ug dayon pilia ang 'DNS Resolver'.

Kung ang panid mag-reload, ang DNS resolver general settings mahimong ma-configure. Kining unang opsyon nga kinahanglang i-configure mao ang checkbox para sa 'Enable DNS Resolver'.

Ang sunod nga mga setting mao ang pag-set sa DNS listening port (kasagaran port 53), pag-set sa mga interface sa network nga kinahanglan paminawon sa DNS resolver (sa niini nga configuration, kini kinahanglan nga ang LAN port ug Localhost), ug dayon ibutang ang egress port (kinahanglan mahimong WAN niini nga configuration).

Kung nahimo na ang mga pagpili, siguruha nga i-klik ang 'Save' sa ilawom sa panid ug dayon i-klik ang buton nga 'I-apply ang Mga Pagbag-o' nga makita sa ibabaw sa panid.

Ang sunod nga lakang mao ang una nga lakang sa pag-configure sa pfBlockerNG nga piho. Pagdala ngadto sa pfBlockerNG nga panid sa pagsumpo ubos sa 'Firewall' nga menu ug dayon i-klik ang 'pfBlockerNG'.

Kung na-load na ang pfBlockerNG, i-klik una ang tab nga 'DNSBL' aron masugdan ang pag-set up sa mga lista sa DNS sa dili pa i-aktibo ang pfBlockerNG.

Kung mag-load ang panid sa 'DNSBL', adunay bag-ong set sa mga menu sa ilawom sa pfBlockerNG nga mga menu (gi-highlight sa berde sa ubos). Ang unang butang nga kinahanglang sulbaron mao ang check box nga 'Enable DNSBL' (gi-highlight sa berde sa ubos).

Kini nga check box magkinahanglan sa UnBound DNS resolver nga gamiton sa pfSense box aron masusi ang dns requests gikan sa LAN clients. Ayaw kabalaka nga ang UnBound na-configure sa sayo pa apan kini nga kahon kinahanglan nga susihon! Ang laing butang nga kinahanglang pun-an niini nga screen mao ang 'DNSBL Virtual IP'.

Kini nga IP kinahanglang anaa sa pribadong network range ug dili balido nga IP sa network diin gigamit ang pfSense. Pananglitan, ang LAN network sa 192.168.0.0/24 mahimong mogamit ug IP nga 10.0.0.1 kay pribado kini nga IP ug dili bahin sa LAN network.

Kini nga IP gamiton sa pagtigom sa mga estadistika ingon man sa pagmonitor sa mga domain nga gisalikway sa pfBlockerNG.

Pag-scroll sa panid, adunay pipila pa nga mga setting nga angay hisgutan. Ang una mao ang 'DNSBL Listening Interface'. Alang niini nga setup, ug kadaghanan sa mga setup, kini nga setting kinahanglan nga ibutang sa 'LAN'.

Ang laing setting mao ang 'List Action' ubos sa 'DNSBL IP Firewall Settings'. Kini nga setting nagtino kung unsa ang mahitabo kung ang usa ka DNSBL feed naghatag mga IP address.

Ang mga lagda sa pfBlockerNG mahimong i-setup aron mahimo ang bisan unsang gidaghanon sa mga aksyon apan lagmit nga 'Deny Both' ang gusto nga kapilian. Makapugong kini sa mga inbound ug outbound nga koneksyon sa IP/domain sa DNSBL feed.

Kung napili na ang mga aytem, pag-scroll sa ilawom sa panid ug i-klik ang buton nga 'Save'. Sa higayon nga ma-reload ang panid, panahon na aron ma-configure ang DNS Block Lists nga kinahanglan gamiton.

Ang pfBlockerNG naghatag sa tagdumala og duha ka kapilian nga mahimong i-configure nga independente o magkauban depende sa gusto sa tagdumala. Ang duha ka mga kapilian mao ang manwal nga mga feed gikan sa ubang mga web page o EasyLists.

Aron makabasa og dugang mahitungod sa lain-laing EasyLists, palihug bisitaha ang homepage sa proyekto: https://easylist.to/

I-configure ang pfBlockerNG EasyList

Atong hisgutan ug i-configure una ang EasyLists. Kadaghanan sa mga tiggamit sa balay makit-an nga kini nga mga lista igo na ingon man ang labing gamay nga mabug-at nga administratibo.

Ang duha ka EasyLists nga anaa sa pfBlockerNG mao ang 'EasyList w/o Element Hiding' ug 'EasyPrivacy'. Aron magamit ang usa niini nga mga lista, pag-klik una sa 'DNSBL EasyList' sa ibabaw sa panid.

Sa higayon nga ma-reload ang panid, ang seksyon sa EasyList configuration mahimong magamit. Ang mosunod nga mga setting kinahanglan nga ma-configure:

  • Ngalan sa Grupo sa DNS – Pagpili sa tiggamit apan walay espesyal nga mga karakter
  • Paglaragway – Pagpili sa user, gitugutan ang mga espesyal nga karakter
  • EasyList Feeds State – Kung gigamit ba ang gi-configure nga lista
  • EasyList Feed – Unsang lista ang gamiton (EasyList o EasyPrivacy) ang duha mahimong idugang
  • Header/Label – Pagpili sa user pero walay espesyal nga karakter

Ang sunod nga seksyon gigamit aron mahibal-an kung unsang mga bahin sa mga lista ang ma-block. Pag-usab kini ang tanan nga gusto sa tiggamit ug daghang mahimong mapili kung gusto. Ang importante nga mga setting sa 'DNSBL - EasyList Settings' mao ang mosunod:

  • Mga Kategorya – Ang gusto sa user ug daghan mahimong pilion
  • Listang Aksyon – Kinahanglang itakda sa ‘Wala’y Gapos’ aron masusi ang mga hangyo sa DNS
  • Kasubsob sa Pag-update – Unsa ka subsob nga i-update sa pfSense ang listahan sa dili maayo nga mga site

Kung ang mga setting sa EasyList na-configure sa gusto sa tiggamit, siguruha nga mag-scroll sa ilawom sa panid ug i-klik ang buton nga 'Save'. Kung ma-reload ang panid, pag-scroll sa taas sa panid ug i-klik ang tab nga 'Update'.

Sa higayon nga naa sa tab sa pag-update, susiha ang radio button alang sa 'Reload' ug dayon susiha ang radio button alang sa 'Tanan'. Kini modagan pinaagi sa usa ka serye sa mga web download aron makuha ang mga block list nga gipili sa EasyList configuration page sa sayo pa.

Kinahanglan kini nga mano-mano nga buhaton kung dili ang mga lista dili ma-download hangtod sa gikatakda nga cron nga buluhaton. Bisan unsang orasa nga gihimo ang mga pagbag-o (mga lista nga gidugang o gitangtang) siguroha nga ipadagan kini nga lakang.

Tan-awa ang log window sa ubos alang sa bisan unsang mga sayup. Kung ang tanan moadto sa plano, ang mga makina sa kliyente sa LAN nga bahin sa firewall kinahanglan nga makapangutana sa pfSense firewall alang sa nahibal-an nga dili maayo nga mga site ug makadawat dili maayo nga mga adres sa ip agig balos. Pag-usab ang mga makina sa kliyente kinahanglan nga itakda aron magamit ang kahon sa pfsense ingon ilang solusyon sa DNS bisan pa!

Matikdi sa nslookup sa ibabaw nga ang url nagbalik sa bakak nga IP nga gi-configure sa sayo pa sa pfBlockerNG mga pag-configure. Kini ang gitinguha nga sangputanan. Moresulta kini sa bisan unsang hangyo sa URL nga '100pour.com' nga idirekta sa bakak nga IP address sa 10.0.0.1.

I-configure ang DNSBL Feeds para sa pfSense

Sukwahi sa AdBlock EasyLists, adunay usab abilidad sa paggamit sa ubang mga DNS Black Lists sulod sa pfBlockerNG. Adunay gatusan ka mga lista nga gigamit sa pagsubay sa sugo ug pagkontrol sa malware, spyware, adware, tor nodes, ug tanang matang sa uban pang mapuslanong listahan.

Kini nga mga lista kanunay nga makuha sa pfBlockerNG ug magamit usab ingon dugang nga DNS Black Lists. Adunay pipila ka mga kapanguhaan nga naghatag mapuslanon nga mga lista:

  • https://forum.pfsense.org/index.php?topic=114499.0
  • https://forum.pfsense.org/index.php?topic=102470.0
  • https://forum.pfsense.org/index.php?topic=86212.0

Ang mga link sa ibabaw naghatag ug mga thread sa pfSense's forum diin ang mga miyembro nag-post ug daghang koleksyon sa lista nga ilang gigamit. Ang pipila sa mga paboritong listahan sa tagsulat naglakip sa mosunod:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

Sa makausa pa adunay mga tonelada sa uban nga mga lista ug ang tagsulat kusganong nag-awhag nga ang mga indibidwal mangita pa/uban pang mga lista. Magpadayon kita sa mga buluhaton sa pag-configure bisan pa.

Ang unang lakang mao ang pag-adto sa pfBlockerNG's configuration menu pag-usab pinaagi sa 'Firewall' -> 'pfBlockerNG' -> 'DSNBL'.

Sa higayon nga sa DNSBL configuration page pag-usab, i-klik ang 'DNSBL Feeds' nga teksto ug dayon i-klik ang 'Add' button sa higayon nga ang panid ma-refresh.

Ang add button magtugot sa tagdumala sa pagdugang og dugang nga mga listahan sa dili maayo nga mga IP address o DNS nga mga ngalan sa pfBlockerNG software (ang duha ka mga butang nga anaa na sa listahan kay sa tagsulat gikan sa pagsulay). Ang add button magdala sa tagdumala sa usa ka panid diin ang mga listahan sa DNSBL mahimong idugang sa firewall.

Ang importante nga mga setting niini nga output mao ang mosunod:

  • DNS Group Name – Gipili ang user
  • Paghulagway – Mapuslanon para sa pagpabiling organisado sa mga grupo
  • DNSBL Settings – Kini ang aktuwal nga mga lista
    • Estado – Kung kana nga tinubdan gigamit o wala ug giunsa kini pagkuha
    • Source – Ang link/source sa DNS Black List
    • Header/Label – Pagpili sa user; walay espesyal nga mga karakter

    Kung mabutang na kini nga mga setting, i-klik ang buton sa pag-save sa ilawom sa panid. Sama sa bisan unsang mga pagbag-o sa pfBlockerNG, ang mga pagbag-o adunay epekto sa sunod nga naka-iskedyul nga agwat sa cron o ang tagdumala mahimo’g mano-mano nga mapugos ang usa ka reload pinaagi sa pag-navigate sa tab nga 'Update', i-klik ang radio button nga 'Reload', ug dayon i-klik ang 'Tanan' butones sa radyo. Kung napili na, i-klik ang 'Run' button.

    Tan-awa ang log window sa ubos alang sa bisan unsang mga sayup. Kung ang tanan moadto sa plano, sulayi nga ang mga lista nagtrabaho pinaagi lamang sa pagsulay sa paghimo sa usa ka nslookup gikan sa usa ka kliyente sa lan nga bahin sa usa sa mga dominyo nga gilista sa usa sa mga text file nga gigamit sa pag-configure sa DNSBL.

    Sama sa makita sa output sa ibabaw, ang pfSense device nagbalik sa virtual IP address nga gi-configure sa pfBlockerNG isip dili maayo nga IP alang sa itom nga listahan nga mga domain.

    Niini nga punto ang administrador mahimong magpadayon sa pag-tune sa mga lista pinaagi sa pagdugang og dugang nga mga lista o paghimo og custom nga domain/IP nga mga listahan. Ang pfBlockerNG magpadayon sa pag-redirect niining mga gidid-an nga dominyo ngadto sa peke nga IP address.

    Salamat sa pagbasa niini nga artikulo bahin sa pfBlockerNG. Palihug ipakita ang imong pagpasalamat o suporta alang sa pfSense software ingon man sa pfBlockerNG pinaagi sa pag-amot sa bisan unsang paagi nga posible sa padayon nga pag-uswag niining duha ka matahum nga mga produkto. Sama sa kanunay palihug komento sa ubos sa bisan unsang mga sugyot o pangutana!