Активность

pfBlockerNG - пакет pfSense для фильтрации IP трафика и DNSBL блокировки по готовым фидам с некоторыми дополнительными функциями. Источников много, по установке настройке pfBlockerNG на pfSense. Поэтому собрал все вместе для себя или кому надо. Установка pfSense слишком очевидна как и установка самого pfBlockerNG, поэтому только настройка. НО ставит надо pfBlockerNG-devel ибо по многочисленным данным пакет просто pfBlockerNG для pfSense крайне редко обновляется. Итаг: В визарде первоначальной настройки, через next -> next -> выбор интерфейсов для работы WAN = inbound LAN = outbound все остальное как есть остается. После этого запустится обновление дефолтных фидов и перезапуск DNS резолвера. На основной странице включить чекбокс Enable а остальное можно оставить по умолчанию. Станица IP Включить: De-Duplication - удалять из фидов дублирующие записи. CIDR Aggregation - это метод, который пытается уменьшить общий размер списка путём удаления лишних префиксов и объединения соседних префиксов в один префикс с более короткой длиной В итоге файлы правил блокера и правила фаера будут меньше и будут быстрее обрабатываться меньшей памятью и процессором. Suppression - чтобы скачанные фиды не заблокировали loopback и внутренние RFC1918 адреса. Force Global IP Logging - логирование всего, что заблокировали фиды. На выбор. Placeholder IP Address - как есть, резервный адрес для скачанных пустых фидов. ASN Reporting - В отчетах будут номера ASN, время кэширования по нагрузке. Maxmind GeoIP - не работает, санкции и зарегаться из России невозможно. Вариант юзать саму базу GeoIP в системе будет изучен позже (возможность получать базу без регистрации есть) IPv4 Suppression - список IP игнорируемых блокером. IP Interface/Rules Configuration - настройка автосоздания правил фаера и правила входящего/выходящего интерфейса, можно все оставить как есть. Kill States - при Force обрубить все имеющиеся соединения по правилам из новых/обновленных фидов. ставить Enable. Следующее - выбрать фиды для IPv4 блокировки Вкладка Feeds IPv4 Category PRI1/PRI2/PRI3/PRI4 - основные фиды со злодейскими IPшниками - вирусы, malware, C&C сервера и пр. Цифра означает качество фидов, т.е. выборка PRI1 более тщательная чем PRI4, где количество false-positive срабатываний может быть намного чаще. SCANNERS - IP адреса "легальных" сканеров сети, вроде Shodan. Пригодится для фильтрации inbound трафика в случае когда за pfSense стоят другие сервера. SFS - Stop Forum Spam. Обычно используется для фильтрации входящего трафика для web-серверов, не имеет особого смысла для трафика исходящего из вашей локалки. TOR - понятно что блокировка чего. MAIL - антиспам-фиды, на случай если за pfSense стоит почтовик. DNS - IP адреса всех известных DNS серверов. Можно использовать для доп. блокировки исходящих DNS запросов на внешние сервера. Но осторожно, могут быть и false-positive срабатывания Proxy, Torrent, VPN - IPшки известных прокси серверов, торрент-трекеров и VPN. Последний использовать аккуратно, могут быть заблокированы и вполне легитимные VPNы (например DrWeb Security Space) IPv6 Category - неактуально пока. Фиды появляются в IP -> IPv4 Действия тут понятны. Если нажать на карандаш редактирования - то можно менять состояние фидов на включить/выключить Или настроить работу группы фидов Далее как сделать группу фидов с адресами которые надо заблочить вручную -самодельный стоплист так сказать. Затем указать нужные Name/description Потом Action -> Deny Both, Update Frequency -> Never. Затем плюсануть на IPv4 Custom_List Дальше отметить чекбокс Enable Domain/AS - чтоб не писать IP адреса а они резолвились по имени сами. Ну и вписать нужные для блокировки домены \ Сохранить, чтоб применилось сделать Force Reload Внимание про IP фиды - если те стали слишком большие, можно увидеть в логах pfSense "Cannot allocate memory" Нужно увеличить Firewall Maximum Table Entries раза в два три четыре. Дале DNS блокировка основные опции DNSBL -> Enable DNSBL mode -> Unbound python mode - открывает дополнительные опции (такие как блокировка по python regex) и работает быстрее обычного моде. Wildcard Blocking (TLD) - блокирует по маске все субдомены. Как - написано в инфоблоке (синий кружок с буквой i ) HSTS mode - Отключает отображение ошибок сертификата заблокированных доменов (большинство популярных) - включить TLD Allow - работа только с разрешенными доменами из списка (например только RU или только ORG) - если надло IDN Blocking - блокирует все интернациональные домены, не включать. Regex Blocking - если включено - появится блок для написания списка блокировки по regex. если надо. CNAME Validation - понятно что проверка через блокер всех CNAME, включить. no AAAA - для IPv6 доменов, не включать Python Group Policy - при активации появится блок для списка IP адресов, которые DNSBL не обрабатываются. DNSBL Webserver Configuration Все как есть, главное Web Server Interface -> Localhost DNSBL Configuration Permit Firewall Rules - выбрать нужные интерфейсы Resolver cache -> Enable Остальное понятно так. DNSBL Category - список фидов для DNSBL EasyList, ADs, ADs_Basic - рекламные домены, нужные, включить. Email - почтовые сервера, может заблочить (без предварительной фильтрации) полезные домены Malicious, Phishing - кидалово, включить. Cryptojackers - домены для скрытого майнинга, можно включить. Compilation - агрегаторы более мелких фидов, ерунда. STUN - список STUN доменов используемых (в основном) IP телефонами за NAT'ом. Firebog - самые разные фиды с firebog.net. Много полезного. При добавлении опции почти аналогичны IPv4 фидам. Group Order - если Primary то будет обрабатываться первым DNSBL Custom_List - добавить домены от себя. Далее DNSBL Category Shallalist - не работает! Возможно санкции, при обновлении пишет Forbidden/ UT1 - норм работает, можно включать что надо. Language - есть русский, это только перевод названий категорий списка. Остальное само понятно. DNSBL SafeSearch - редирект поисковиков на safe версии (детский поиск) - есть yandex, остальные все буржуйсие. МБ для дома может пригодиится. Для создания собственного списка блокировки доменов в DNSBL DNSBL-> Enable , DNSBL Mode -> Unbound , Wildcard Blocking (TLD) -> Enable Потом в самом списке блокировки Собственно добавить нужные домены И как обычно произвести перезагрузку блокировки Добавление посторонних блоклистов например здесь есть блоклист с адресами отсуствующими в блоклистах блокера Идти DNSBL -> DNSBL Groups Там указать Name / Description В DNSBL Source Definitions указать https://raw.githubusercontent.com/ph00lt0/blocklists/master/unbound-blocklist.txt Ну там Action -> Unbound и обновление раз в сутки и .т.д. Ну и перезапустить обновление. Периодически обновляемый GeoLite.mmdb лежит здесь Пока всё

pfSense 2.7.2 на FreeBSD 14 на VirtualBox Была сделана машина с 1Гб памяти, соответственно своп создался на автомате в 1 гиг. После установки pfBlockerNG и подключения фидов, в консоли постоянно стало появляться out of swap. Увеличение памяти помогло ненадолго, после обновления фидов опять out of swap и глюки pfBlockerNG. Через resize gpart своп двигать неохота - проще сделать в файле. для FreeBSD от 10 и дальше это так dd if=/dev/zero of=/swap bs=1M count=2048 chmod 0600 /swap потом в fstab md0 none swap sw,file=/swap 0 0 потом swapon -aq && swapinfo -k и всё.