pfSense + pfBlockerNG = блокировка ненужных, вредных и говнянных ресурсов

Skaaraje · 26 июля

pfBlockerNG - пакет pfSense для фильтрации IP трафика и DNSBL блокировки по готовым фидам с некоторыми дополнительными функциями.

Источников много, по установке настройке pfBlockerNG на pfSense.

Поэтому собрал все вместе для себя или кому надо.

Установка pfSense слишком очевидна как и установка самого pfBlockerNG, поэтому только настройка.

НО ставит надо pfBlockerNG-devel ибо по многочисленным данным пакет просто pfBlockerNG для pfSense крайне редко обновляется.

Итаг:

В визарде первоначальной настройки, через next -> next -> выбор интерфейсов для работы

WAN = inbound LAN = outbound
все остальное как есть остается.

После этого запустится обновление дефолтных фидов и перезапуск DNS резолвера.

На основной странице включить чекбокс Enable а остальное можно оставить по умолчанию.

Станица IP
Включить:

De-Duplication - удалять из фидов дублирующие записи.

CIDR Aggregation - это метод, который пытается уменьшить общий размер списка путём удаления лишних префиксов и объединения соседних префиксов в один префикс с более короткой длиной

В итоге файлы правил блокера и правила фаера будут меньше и будут быстрее обрабатываться меньшей памятью и процессором.

Suppression - чтобы скачанные фиды не заблокировали loopback и внутренние RFC1918 адреса.

Force Global IP Logging - логирование всего, что заблокировали фиды. На выбор.

Placeholder IP Address - как есть, резервный адрес для скачанных пустых фидов.

ASN Reporting - В отчетах будут номера ASN, время кэширования по нагрузке.

Maxmind GeoIP - не работает, санкции и зарегаться из России невозможно.
Вариант юзать саму базу GeoIP в системе будет изучен позже (возможность получать базу без регистрации есть)

IPv4 Suppression - список IP игнорируемых блокером.

IP Interface/Rules Configuration - настройка автосоздания правил фаера и правила входящего/выходящего интерфейса, можно все оставить как есть.
Kill States - при Force обрубить все имеющиеся соединения по правилам из новых/обновленных фидов. ставить Enable.

Следующее - выбрать фиды для IPv4 блокировки
Вкладка Feeds

IPv4 Category

PRI1/PRI2/PRI3/PRI4 - основные фиды со злодейскими IPшниками - вирусы, malware, C&C сервера и пр. Цифра означает качество фидов, т.е. выборка PRI1 более тщательная чем PRI4, где количество false-positive срабатываний может быть намного чаще.
SCANNERS - IP адреса "легальных" сканеров сети, вроде Shodan. Пригодится для фильтрации inbound трафика в случае когда за pfSense стоят другие сервера.
SFS - Stop Forum Spam. Обычно используется для фильтрации входящего трафика для web-серверов, не имеет особого смысла для трафика исходящего из вашей локалки.
TOR - понятно что блокировка чего.
MAIL - антиспам-фиды, на случай если за pfSense стоит почтовик.
DNS - IP адреса всех известных DNS серверов. Можно использовать для доп. блокировки исходящих DNS запросов на внешние сервера. Но осторожно, могут быть и false-positive срабатывания
Proxy, Torrent, VPN - IPшки известных прокси серверов, торрент-трекеров и VPN. Последний использовать аккуратно, могут быть заблокированы и вполне легитимные VPNы (например DrWeb Security Space)

IPv6 Category - неактуально пока.

Фиды появляются в IP -> IPv4

Действия тут понятны.

Если нажать на карандаш редактирования - то можно менять состояние фидов на включить/выключить

Или настроить работу группы фидов

Далее как сделать группу фидов с адресами которые надо заблочить вручную -самодельный стоплист так сказать.

Затем указать нужные Name/description

Потом Action -> Deny Both, Update Frequency -> Never.

Затем плюсануть на IPv4 Custom_List

Дальше отметить чекбокс Enable Domain/AS - чтоб не писать IP адреса а они резолвились по имени сами.
Ну и вписать нужные для блокировки домены

\

Сохранить, чтоб применилось сделать Force Reload

Внимание про IP фиды - если те стали слишком большие, можно увидеть в логах pfSense "Cannot allocate memory"

Нужно увеличить Firewall Maximum Table Entries раза в два три четыре.

Дале DNS блокировка

основные опции

DNSBL -> Enable

DNSBL mode -> Unbound python mode - открывает дополнительные опции (такие как блокировка по python regex) и работает быстрее обычного моде.

Wildcard Blocking (TLD) - блокирует по маске все субдомены. Как - написано в инфоблоке (синий кружок с буквой i )

HSTS mode - Отключает отображение ошибок сертификата заблокированных доменов (большинство популярных) - включить

TLD Allow - работа только с разрешенными доменами из списка (например только RU или только ORG) - если надло

IDN Blocking - блокирует все интернациональные домены, не включать.

Regex Blocking - если включено - появится блок для написания списка блокировки по regex. если надо.

CNAME Validation - понятно что проверка через блокер всех CNAME, включить.

no AAAA - для IPv6 доменов, не включать

Python Group Policy - при активации появится блок для списка IP адресов, которые DNSBL не обрабатываются.

DNSBL Webserver Configuration

Все как есть, главное

Web Server Interface -> Localhost

DNSBL Configuration

Permit Firewall Rules - выбрать нужные интерфейсы

Resolver cache -> Enable

Остальное понятно так.

DNSBL Category - список фидов для DNSBL

EasyList, ADs, ADs_Basic - рекламные домены, нужные, включить.
Email - почтовые сервера, может заблочить (без предварительной фильтрации) полезные домены
Malicious, Phishing - кидалово, включить.
Cryptojackers - домены для скрытого майнинга, можно включить.
Compilation - агрегаторы более мелких фидов, ерунда.
STUN - список STUN доменов используемых (в основном) IP телефонами за NAT'ом.
Firebog - самые разные фиды с firebog.net. Много полезного.