pfSense + pfBlockerNG = блокировка ненужных, вредных и говнянных ресурсов

[Skaaraje]

pfBlockerNG - пакет pfSense для фильтрации IP трафика и DNSBL блокировки по готовым фидам с некоторыми дополнительными функциями.

Источников много, по установке настройке pfBlockerNG на pfSense.

Поэтому собрал все вместе для себя или кому надо.

Установка pfSense слишком очевидна как и установка самого pfBlockerNG, поэтому только настройка.

НО ставит надо pfBlockerNG-devel ибо по многочисленным данным пакет просто pfBlockerNG для pfSense крайне редко обновляется.

Итаг:

В визарде первоначальной настройки, через next -> next -> выбор интерфейсов для работы

WAN = inbound LAN = outbound 
все остальное как есть остается.

После этого запустится обновление дефолтных фидов и перезапуск DNS резолвера.

На основной странице включить чекбокс Enable а остальное можно оставить по умолчанию.

Станица IP 
Включить:

De-Duplication - удалять из фидов дублирующие записи.

CIDR Aggregation - это метод, который пытается уменьшить общий размер списка путём удаления лишних префиксов и объединения соседних префиксов в один префикс с более короткой длиной

В итоге файлы правил блокера и правила фаера будут меньше и будут быстрее обрабатываться меньшей памятью и процессором.

Suppression -  чтобы скачанные фиды не заблокировали loopback и внутренние RFC1918 адреса.

Force Global IP Logging - логирование всего, что заблокировали фиды. На выбор.

Placeholder IP Address - как есть, резервный адрес для скачанных пустых фидов.

ASN Reporting - В отчетах будут номера ASN, время кэширования по нагрузке.

 

 

Maxmind GeoIP - не работает, санкции и зарегаться из России невозможно. 
Вариант юзать саму базу GeoIP в системе будет изучен позже (возможность получать базу без регистрации есть)

IPv4 Suppression - список IP игнорируемых блокером.

IP Interface/Rules Configuration - настройка автосоздания правил фаера и правила входящего/выходящего интерфейса, можно все оставить как есть.
Kill States - при Force обрубить все имеющиеся соединения по правилам из новых/обновленных фидов. ставить Enable.

Следующее - выбрать фиды для IPv4 блокировки
Вкладка Feeds 

IPv4 Category

• PRI1/PRI2/PRI3/PRI4 - основные фиды со злодейскими IPшниками - вирусы, malware, C&C сервера и пр. Цифра означает качество фидов, т.е. выборка PRI1 более тщательная чем PRI4, где количество false-positive срабатываний может быть намного чаще. 
• SCANNERS - IP адреса "легальных" сканеров сети, вроде Shodan. Пригодится для фильтрации inbound трафика в случае когда за pfSense стоят другие сервера.
• SFS - Stop Forum Spam. Обычно используется для фильтрации входящего трафика для web-серверов, не имеет особого смысла для трафика исходящего из вашей локалки.
• TOR - понятно что блокировка чего.
• MAIL - антиспам-фиды, на случай если за pfSense стоит почтовик.
• DNS - IP адреса всех известных DNS серверов. Можно использовать для доп. блокировки исходящих DNS запросов на внешние сервера. Но осторожно, могут быть и false-positive срабатывания
• Proxy, Torrent, VPN - IPшки известных прокси серверов, торрент-трекеров и VPN. Последний использовать аккуратно, могут быть заблокированы и вполне легитимные VPNы (например DrWeb Security Space)

IPv6 Category - неактуально пока.

Фиды появляются в  IP -> IPv4

Действия тут понятны.

Если нажать на карандаш редактирования - то можно менять состояние фидов на включить/выключить 

Или настроить работу группы фидов

Далее как сделать группу фидов с адресами которые надо заблочить вручную -самодельный стоплист так сказать.

Затем указать нужные Name/description

 

Потом Action -> Deny Both, Update Frequency -> Never.

Затем плюсануть на IPv4 Custom_List

 

Дальше отметить чекбокс Enable Domain/AS - чтоб не писать IP адреса а они резолвились по имени сами.
Ну и вписать нужные для блокировки домены

\

Сохранить,  чтоб применилось сделать Force Reload

 

 

Внимание про IP фиды - если те стали слишком  большие, можно увидеть в логах pfSense "Cannot allocate memory" 

Нужно увеличить Firewall Maximum Table Entries раза в два три четыре.

 

 

Дале DNS блокировка

основные опции

DNSBL -> Enable

DNSBL mode -> Unbound python mode - открывает дополнительные опции (такие как блокировка по python regex) и работает быстрее обычного моде.

Wildcard Blocking (TLD) - блокирует по маске все субдомены. Как - написано в инфоблоке (синий кружок с буквой i ) 

HSTS mode - Отключает отображение ошибок сертификата заблокированных доменов (большинство популярных) - включить

TLD Allow - работа только с разрешенными доменами из списка (например только RU или только ORG) - если надло

IDN Blocking - блокирует все интернациональные домены, не включать.

Regex Blocking - если включено - появится блок для написания списка блокировки по regex. если надо.

CNAME Validation - понятно что проверка через блокер всех CNAME, включить.

no AAAA - для IPv6 доменов, не включать

Python Group Policy - при активации появится блок для списка IP адресов, которые DNSBL не обрабатываются.

 

DNSBL Webserver Configuration 

Все как есть, главное

Web Server Interface -> Localhost 

 

DNSBL Configuration

Permit Firewall Rules - выбрать нужные интерфейсы

Resolver cache -> Enable 

Остальное понятно так.

 

DNSBL Category - список фидов для DNSBL

 

• EasyList, ADs, ADs_Basic - рекламные домены, нужные, включить.
• Email - почтовые сервера, может заблочить (без предварительной фильтрации) полезные домены
• Malicious, Phishing - кидалово, включить.
• Cryptojackers - домены для скрытого майнинга, можно включить.
• Compilation - агрегаторы более мелких фидов, ерунда.
• STUN - список STUN доменов используемых (в основном) IP телефонами за NAT'ом.
• Firebog - самые разные фиды с firebog.net. Много полезного.

При добавлении опции почти аналогичны IPv4 фидам.

Group Order - если Primary то будет обрабатываться первым
DNSBL Custom_List - добавить домены от себя.

Далее 
DNSBL Category

 

Shallalist - не работает! Возможно санкции, при обновлении пишет Forbidden/

UT1 - норм работает, можно включать что надо.

Language - есть русский, это только перевод названий категорий списка.

Остальное само понятно.

 

DNSBL SafeSearch - редирект поисковиков на safe версии (детский поиск) - есть yandex, остальные все буржуйсие. МБ для дома может пригодиится.

 

Для создания собственного списка блокировки доменов в DNSBL

 

DNSBL-> Enable , DNSBL Mode -> Unbound , Wildcard Blocking (TLD) -> Enable
 

 

Потом в самом списке блокировки

 

Собственно добавить нужные домены

 

И как обычно произвести перезагрузку блокировки

 

Добавление посторонних блоклистов

например здесь есть блоклист с адресами отсуствующими в блоклистах блокера

Идти  DNSBL -> DNSBL Groups 

Там указать Name / Description 

В DNSBL Source Definitions  указать https://raw.githubusercontent.com/ph00lt0/blocklists/master/unbound-blocklist.txt 

Ну там Action -> Unbound и обновление раз в сутки и .т.д. 

Ну и перезапустить обновление.

 

Периодически обновляемый GeoLite.mmdb лежит здесь

 

 

Пока всё

 

Изменено 26 июля пользователем Skaaraje