Fi sori ẹrọ ati Tunto pfBlockerNg fun Akojọ Dudu DNS ni pwSense Firewall

Ninu nkan iṣaaju fifi sori ẹrọ ti ojutu ogiriina ti o da lori ọfẹ FreeBSD ti a mọ bi pfSense ti jiroro. pfSense, bi a ti mẹnuba ninu nkan iṣaaju, jẹ agbara ogiri ogiri ti o ni agbara pupọ ati irọrun ti o le lo kọnputa atijọ kan ti o le dubulẹ ni ayika kii ṣe pupọ.

Nkan yii yoo sọ nipa package afikun-iyalẹnu fun pfsense ti a pe ni pfBlockerNG.

pfBlockerNG jẹ package ti o le fi sori ẹrọ ni pfSense lati pese oluṣakoso ogiriina pẹlu agbara lati faagun awọn agbara ogiriina kọja ogiriina aṣa L2/L3/L4 ti aṣa.

Bii awọn agbara ti awọn ikọlu ati awọn ọdaràn cyber tẹsiwaju lati ni ilosiwaju, nitorinaa awọn aabo ti o wa ni aaye lati da awọn akitiyan wọn duro Bii pẹlu ohunkohun ninu agbaye iširo, ko si ojutu kan ṣoṣo ti n ṣatunṣe gbogbo ọja ni ita.

pfBlockerNG n pese pfSense pẹlu agbara fun ogiriina lati ṣe gba/sẹ awọn ipinnu ti o da lori awọn ohun kan gẹgẹbi geolocation ti adiresi IP kan, orukọ ìkápá kan ti orisun kan, tabi awọn igbelewọn Alexa ti awọn oju opo wẹẹbu pataki.

Agbara lati ni ihamọ lori awọn ohun kan gẹgẹbi awọn orukọ ìkápá jẹ anfani pupọ bi o ṣe gba awọn alakoso laaye lati dẹkun awọn igbiyanju ti awọn ẹrọ inu ti ngbiyanju lati sopọ si awọn ibugbe buburu ti a mọ (ni awọn ọrọ miiran, awọn ibugbe ti o le mọ pe o ni malware, akoonu arufin, tabi omiiran awọn ege ti o ni oye).

Itọsọna yii yoo rin nipasẹ tito leto ẹrọ ogiriina pfSense kan lati lo pfBlockerNG package ati diẹ ninu awọn apẹẹrẹ ipilẹ ti awọn atokọ agbegbe ìkápá ti o le ṣafikun/tunto sinu ọpa pfBlockerNG.

Nkan yii yoo ṣe awọn imọran meji ati pe yoo kọ kuro ti nkan fifi sori tẹlẹ nipa pfSense. Awọn imọran yoo jẹ bi atẹle:

  • pfSense ti wa ni tẹlẹ ti fi sii ko si ni awọn ofin ti o tunto lọwọlọwọ (sileti ti o mọ).
  • Ogiriina nikan ni WAN ati ibudo LAN (awọn ibudo 2).
  • Eto IP ti n lo lori ẹgbẹ LAN ni 192.168.0.0/24.

O yẹ ki o ṣe akiyesi pe pfBlockerNG le wa ni tunto lori ogiriina pfSense ti n ṣiṣẹ/tunto tẹlẹ. Idi fun awọn imọran wọnyi nibi ni irọrun fun mimọ ati ọpọlọpọ awọn iṣẹ-ṣiṣe ti yoo pari, tun le ṣee ṣe lori apoti pfSense ti ko ni mimọ.

Aworan ti o wa ni isalẹ jẹ apẹrẹ laabu fun agbegbe pfSense ti yoo ṣee lo ninu nkan yii.

Fi sori ẹrọ pfBlockerNG fun pfSense

Pẹlu lab ti o ṣetan lati lọ, o to akoko lati bẹrẹ! Igbesẹ akọkọ ni lati sopọ si wiwo wẹẹbu fun ogiriina pfSense. Lẹẹkansi agbegbe laabu yii nlo nẹtiwọọki 192.168.0.0/24 pẹlu ogiriina ti n ṣiṣẹ bi ẹnu-ọna pẹlu adirẹsi ti 192.168.0.1. Lilo aṣawakiri wẹẹbu kan ati lilọ kiri si 'https://192.168.0.1' yoo han oju-iwe iwọle pfSense.

Diẹ ninu awọn aṣàwákiri le kerora nipa ijẹrisi SSL, eyi jẹ deede nitori ijẹrisi naa jẹ ami ti ara ẹni nipasẹ ogiriina pfSense. O le gba ifiranṣẹ ikilọ lailewu ati pe ti o ba fẹ, ijẹrisi ti o wulo ti o fowo si nipasẹ ofin CA le fi sori ẹrọ ṣugbọn o kọja opin ti nkan yii.

Lẹhin tite ni ifijišẹ 'To ti ni ilọsiwaju' ati lẹhinna 'Fikun Imukuro…', tẹ lati jẹrisi iyasọtọ aabo. Oju-iwe iwọle pfSense yoo han lẹhinna gba ati gba laaye fun alakoso lati wọle si ohun elo ogiriina.

Lọgan ti o wọle si oju-iwe pfSense akọkọ, tẹ lori ‘Eto’ silẹ silẹ lẹhinna yan ‘Oluṣakoso Package’.

Tite ọna asopọ yii yoo yipada si window window alakoso. Oju-iwe akọkọ lati fifuye yoo jẹ gbogbo awọn idii ti a fi sori ẹrọ lọwọlọwọ ati pe yoo ṣofo (lẹẹkansi itọsọna yii n gba pe fifi sori pfSense ti o mọ). Tẹ ọrọ naa ‘Awọn idii ti o wa’ lati pese akojọ kan ti awọn idii ti a le fi sori ẹrọ fun pfSense.

Lọgan ti awọn ẹrù oju-iwe awọn ‘Awọn Apoti ti O Wa’, tẹ ‘pfblocker’ sinu apoti ‘Wadii’ ki o tẹ ‘Ṣawari’. Ohun akọkọ ti o pada yẹ ki o jẹ pfBlockerNG. Wa oun bọtini ‘Fi sori ẹrọ’ ni apa ọtun ti apejuwe pfBlockerNG ki o tẹ ‘+’ lati fi package sii.

Oju-iwe naa yoo tun gbee ki o beere fun alakoso lati jẹrisi fifi sori ẹrọ nipa tite ‘Jẹrisi’.

Lọgan ti a fi idi rẹ mulẹ, pfSense yoo bẹrẹ lati fi pfBlockerNG sori ẹrọ. Maṣe lọ kiri kuro ni oju-iwe insitola! Duro titi ti oju-iwe yoo fi sori ẹrọ aṣeyọri fifi sori ẹrọ.

Lọgan ti fifi sori ẹrọ ba ti pari, iṣeto pfBlockerNG le bẹrẹ. Iṣẹ-ṣiṣe akọkọ ti o nilo lati pari botilẹjẹpe diẹ ninu awọn alaye lori ohun ti yoo ṣẹlẹ ni kete ti tunto pfBlockerNG daradara.

Lọgan ti a tunto pfBlockerNG, awọn ibeere DNS fun awọn aaye ayelujara yẹ ki o gba wọle nipasẹ ogiriina pfSense ti n ṣiṣẹ sọfitiwia pfBlockerNG. pfBlockerNG yoo lẹhinna ni awọn atokọ imudojuiwọn ti awọn ibugbe buburu ti a mọ ti o ya aworan si adiresi IP buburu kan.

Ogiriina pfSense nilo lati ṣe idiwọ awọn ibeere DNS lati ni anfani lati ṣe iyọkuro awọn ibugbe buburu ati pe yoo lo ipinnu DNS agbegbe ti a mọ ni UnBound. Eyi tumọ si awọn alabara lori wiwo LAN nilo lati lo ogiriina pfSense bi ipinnu DNS.

Ti alabara ba beere fun ìkápá kan ti o wa lori awọn atokọ Àkọsílẹ pfBlockerNG, lẹhinna pfBlockerNG yoo da adirẹsi iparọ eke kan pada fun agbegbe naa. Jẹ ki a bẹrẹ ilana naa!

pfBlockerNG Iṣeto ni fun pfSense

Igbesẹ akọkọ ni lati jẹki ipinnu DNS UnBound lori ogiriina pfSense. Lati ṣe eyi, tẹ lori akojọ aṣayan 'Awọn iṣẹ' lẹhinna yan 'Resolver DNS'.

Nigbati oju-iwe naa ba tun gbejade, awọn eto gbogbogbo ipinnu DNS yoo tunto. Aṣayan akọkọ yii ti o nilo lati tunto ni apoti ayẹwo fun 'Jeki Resolver DNS'.

Awọn eto ti nbọ ni lati ṣeto ibudo tẹtisi DNS (ibudo 53 deede), ṣiṣeto awọn atọkun nẹtiwọọki ti ipinnu DNS yẹ ki o tẹtisi (ni iṣeto yii, o yẹ ki o jẹ ibudo LAN ati Localhost), lẹhinna ṣeto ibudo egress (yẹ jẹ WAN ni iṣeto yii).

Lọgan ti a ti ṣe awọn yiyan, rii daju lati tẹ ‘Fipamọ’ ni isalẹ oju-iwe naa lẹhinna tẹ bọtini ‘Waye Awọn Ayipada’ ti yoo han ni oke oju-iwe naa.

Igbese ti n tẹle ni igbesẹ akọkọ ni iṣeto ti pfBlockerNG pataki. Lilọ kiri si oju-iwe iṣeto pfBlockerNG labẹ oju-iwe 'Firewall' lẹhinna tẹ lori 'pfBlockerNG'.

Lọgan ti pfBlockerNG ti kojọpọ, tẹ lori ‘DNSBL’ taabu akọkọ lati bẹrẹ iṣeto awọn atokọ DNS ṣaaju ṣiṣiṣẹ pfBlockerNG.

Nigbati oju-iwe 'DNSBL' ba kojọpọ, ṣeto awọn akojọ aṣayan yoo wa labẹ awọn akojọ aṣayan pfBlockerNG (ti afihan ni alawọ ni isalẹ). Ohun akọkọ ti o nilo lati koju ni apoti ayẹwo ‘Jeki DNSBL’ (afihan ni alawọ ni isalẹ).

Apoti ayẹwo yii yoo nilo ipinnu ipinnu DNS UnBound DNS lori apoti pfSense lati ṣayẹwo awọn ibeere dns lati ọdọ awọn alabara LAN. Maṣe yọ ara rẹ lẹnu pe a tunto UnBound tẹlẹ ṣugbọn apoti yii yoo nilo lati ṣayẹwo! Ohun miiran ti o nilo lati kun ni oju iboju yii ni ‘DNSBL Virtual IP’.

IP yii nilo lati wa ni ibiti nẹtiwọọki ikọkọ ati kii ṣe IP ti o wulo lori nẹtiwọọki eyiti a nlo pfSense. Fun apẹẹrẹ, nẹtiwọọki LAN kan lori 192.168.0.0/24 le lo IP ti 10.0.0.1 bi o ṣe jẹ IP ikọkọ ati kii ṣe apakan ti nẹtiwọọki LAN.

A yoo lo IP yii lati ṣajọ awọn iṣiro bi daradara bi awọn ibugbe atẹle ti o kọ nipasẹ pfBlockerNG.

Yi lọ si isalẹ oju-iwe naa, awọn eto diẹ diẹ wa ti o tọ si darukọ. Ni igba akọkọ ti o jẹ 'Ọlọpọọgbọ Gbọ DNSBL'. Fun iṣeto yii, ati awọn ipilẹ julọ, eto yii yẹ ki o ṣeto si 'LAN'.

Eto miiran jẹ 'Igbese Akojọ' labẹ 'DNSBL IP Firewall Eto'. Eto yii pinnu ohun ti o yẹ ki o ṣẹlẹ nigbati kikọ sii DNSBL pese awọn adirẹsi IP.

Awọn ofin pfBlockerNG le jẹ iṣeto lati ṣe nọmba eyikeyi awọn iṣe ṣugbọn o ṣeese ‘Deny Mejeeji’ yoo jẹ aṣayan ti o fẹ. Eyi yoo ṣe idiwọ awọn isopọ inbound ati ijade si IP/ibugbe lori ifunni DNSBL.

Lọgan ti a ti yan awọn ohun kan, yi lọ si isalẹ ti oju-iwe naa ki o tẹ bọtini ‘Fipamọ’. Lọgan ti oju-iwe naa ba tun gbejade, o to akoko lati tunto Awọn atokọ Àkọsílẹ DNS ti o yẹ ki o lo.

pfBlockerNG n pese alakoso pẹlu awọn aṣayan meji ti o le ṣe tunto ni ominira tabi papọ da lori ayanfẹ ti alakoso naa. Awọn aṣayan meji jẹ awọn ifunni ọwọ lati awọn oju-iwe wẹẹbu miiran tabi EasyLists.

Lati ka diẹ sii nipa awọn EasyLists oriṣiriṣi, jọwọ ṣabẹwo si oju-ile iṣẹ akanṣe naa: https://easylist.to/

Ṣe atunto pfBlockerNG EasyList

Jẹ ki a jiroro ki o tunto awọn EasyLists ni akọkọ. Pupọ olumulo olumulo ile yoo wa awọn atokọ wọnyi lati to bi iwuwo ti o kere ju nipa iṣakoso.

Awọn EasyLists meji ti o wa ni pfBlockerNG ni 'EasyList w/o Element Hiding' ati 'EasyPrivacy'. Lati lo ọkan ninu awọn atokọ wọnyi, kọkọ tẹ ‘DNSBL EasyList’ ni oke oju-iwe naa.

Ni kete ti oju-iwe naa ba tun gbejade, apakan iṣeto iṣeto EasyList yoo wa ni wiwa. Awọn eto wọnyi yoo nilo lati tunto:

  • Orukọ Ẹgbẹ DNS - Aṣayan olumulo ṣugbọn ko si awọn ohun kikọ pataki
  • Apejuwe - Aṣayan Olumulo, awọn kikọ pataki ti a gba laaye
  • Ipinle Awọn kikọ sii EasyList - Boya a ti lo atokọ atunto naa
  • kikọ sii EasyList - Kini atokọ lati lo (EasyList tabi EasyPrivacy) awọn mejeeji ni a le ṣafikun
  • Akọsori/Aami - Aṣayan olumulo ṣugbọn ko si awọn ohun kikọ pataki

A lo apakan ti o tẹle lati pinnu iru awọn apakan ti awọn atokọ naa yoo ni idiwọ. Lẹẹkansi awọn wọnyi ni gbogbo ayanfẹ olumulo ati ọpọ le yan bi o ba fẹ. Awọn eto pataki ninu ‘DNSBL - Eto Eto EasyList’ ni atẹle:

  • Awọn isori - Aṣayan olumulo ati ọpọ ni a le yan
  • Igbese Akojọ - Nilo lati ṣeto si 'Unbound' lati le ṣayẹwo awọn ibeere DNS
  • Imudojuiwọn Igbohunsafẹfẹ - Bawo ni igbagbogbo pfSense yoo ṣe imudojuiwọn atokọ ti awọn aaye ti ko dara

Nigbati a ba tunto awọn eto EasyList si awọn ayanfẹ ti olumulo, rii daju lati yi lọ si isalẹ ti oju-iwe naa ki o tẹ bọtini ‘Fipamọ’. Lọgan ti oju-iwe naa ba tun gbejade, yi lọ si ori oke ti oju-iwe naa ki o tẹ taabu ‘Imudojuiwọn’.

Lọgan lori taabu imudojuiwọn, ṣayẹwo bọtini redio fun ‘Tun gbee’ lẹhinna ṣayẹwo bọtini redio fun ‘Gbogbo’. Eyi yoo ṣiṣẹ nipasẹ lẹsẹsẹ awọn gbigba lati ayelujara wẹẹbu lati gba awọn atokọ bulọọki ti a yan lori oju-iwe iṣeto EasyList ni iṣaaju.

Eyi gbọdọ ṣee ṣe pẹlu ọwọ bibẹẹkọ awọn atokọ kii yoo gba lati ayelujara titi ti iṣẹ-ṣiṣe cron ti a ṣeto. Ṣe awọn ayipada nigbakugba (awọn atokọ ti a ṣafikun tabi yọkuro) rii daju lati ṣiṣe igbesẹ yii.

Wo window log ni isalẹ fun eyikeyi awọn aṣiṣe. Ti ohun gbogbo ba lọ lati gbero, awọn ẹrọ alabara lori ẹgbẹ LAN ti ogiriina yẹ ki o ni anfani lati beere ogiriina pfSense fun awọn aaye buburu ti o mọ ati gba awọn adirẹsi IP buburu ni ipadabọ. Lẹẹkansi awọn ero alabara gbọdọ ṣeto lati lo apoti pfsense bi ipinnu DNS wọn botilẹjẹpe!

Ṣe akiyesi ni nslookup loke pe url pada IP ti o tunto ti o tunto tẹlẹ ni awọn atunto pfBlockerNG. Eyi ni abajade ti o fẹ. Eyi yoo ja si eyikeyi ibeere si URL ‘100pour.com’ ni itọsọna si adirẹsi IP eke ti 10.0.0.1.

Ṣe atunto Awọn ifunni DNSBL fun pfSense

Ni idakeji si Awọn AdLlock EasyLists, agbara tun wa lati lo Awọn atokọ Dudu DNS miiran laarin pfBlockerNG. Awọn ọgọọgọrun awọn atokọ wa ti o lo lati tọpinpin pipaṣẹ ati iṣakoso malware, spyware, adware, awọn apa tor, ati gbogbo iru awọn atokọ ti o wulo miiran.

Awọn atokọ wọnyi le ṣee fa nigbagbogbo sinu pfBlockerNG ati tun lo bi Awọn atokọ Dudu DNS siwaju. Awọn orisun diẹ wa ti o pese awọn atokọ to wulo:

  • https://forum.pfsense.org/index.php? akori =114499.0
  • https://forum.pfsense.org/index.php? akori = 102470.0
  • https://forum.pfsense.org/index.php? akori = 86212.0

Awọn ọna asopọ ti o wa loke n pese awọn okun lori apejọ pfSense nibiti awọn ọmọ ẹgbẹ ti fiwe gbigba nla ti atokọ ti wọn lo. Diẹ ninu awọn atokọ ayanfẹ ti onkọwe pẹlu atẹle:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

Lẹẹkansi awọn toonu ti awọn atokọ miiran wa ati onkọwe ni iwuri ni iyanju pe awọn ẹni-kọọkan wa diẹ sii/awọn atokọ miiran. Jẹ ki a tẹsiwaju pẹlu awọn iṣẹ iṣeto tilẹ.

Igbesẹ akọkọ ni lati lọ sinu akojọ aṣayan atunto pfBlockerNG lẹẹkansii nipasẹ ‘Firewall’ -> ‘pfBlockerNG’ -> ‘DSNBL’.

Lọgan lori oju-iwe iṣeto DNSBL lẹẹkansii, tẹ lori ọrọ 'Awọn kikọ sii DNSBL' lẹhinna tẹ bọtini 'Fikun-un' ni kete ti oju-iwe naa tù.

Bọtini afikun yoo gba alakoso laaye lati ṣafikun awọn atokọ diẹ sii ti awọn adirẹsi IP buburu tabi awọn orukọ DNS si sọfitiwia pfBlockerNG (awọn ohun meji ti o wa tẹlẹ ninu atokọ naa ni onkọwe lati idanwo). Bọtini afikun naa mu alabojuto wa si oju-iwe nibiti a le fi awọn atokọ DNSBL si ogiriina.

Awọn eto pataki ninu iṣelọpọ yii ni atẹle:

  • Orukọ Ẹgbẹ DNS - Olumulo ti yan
  • Apejuwe - Wulo fun titọju awọn ẹgbẹ ṣeto
  • Awọn eto DNSBL - Iwọnyi ni awọn atokọ gangan
    • Ipinle - Boya a lo orisun yẹn tabi a ko lo ati bii o ṣe gba
    • Orisun - Ọna asopọ/orisun ti Akojọ Dudu DNS DNS
    • Akọsori/Aami - Aṣayan olumulo; ko si awọn ohun kikọ pataki

    Lọgan ti a ti ṣeto awọn eto wọnyi, tẹ bọtini fifipamọ ni isalẹ ti oju-iwe naa. Bii pẹlu eyikeyi awọn ayipada si pfBlockerNG, awọn ayipada yoo ni ipa lori aarin cron ti a ṣeto atẹle tabi olutọju le fi agbara mu fifa fifa pẹlu ọwọ nipasẹ lilọ kiri si taabu ‘Imudojuiwọn’, tẹ bọtini redio ‘Reload’, ati lẹhinna tẹ ‘Gbogbo’ bọtini redio. Lọgan ti a ba yan awọn wọnyẹn, tẹ bọtini ‘Ṣiṣe’.

    Wo window log ni isalẹ fun eyikeyi awọn aṣiṣe. Ti ohun gbogbo ba lọ lati gbero, ṣe idanwo pe awọn atokọ naa n ṣiṣẹ nipa ṣiṣe igbiyanju lati ṣe oju wiwo lati ọdọ alabara kan ni apa lan si ọkan ninu awọn ibugbe ti a ṣe akojọ si ọkan ninu awọn faili ọrọ ti a lo ninu iṣeto DNSBL.

    Gẹgẹbi a ti le rii ninu iṣelọpọ loke, ẹrọ pfSense n da adiresi IP foju pada ti o tunto ni pfBlockerNG bi IP buburu fun awọn ibugbe atokọ dudu.

    Ni aaye yii olutọju le tẹsiwaju yiyi awọn atokọ nipasẹ fifi awọn atokọ diẹ sii tabi ṣiṣẹda ašẹ aṣa/awọn atokọ IP. pfBlockerNG yoo tẹsiwaju lati ṣe atunṣe awọn ibugbe ihamọ wọnyi si adirẹsi IP iro.

    O ṣeun fun kika nkan yii nipa pfBlockerNG. Jọwọ ṣe afihan riri rẹ tabi atilẹyin fun sọfitiwia pfSense naa bii pfBlockerNG nipasẹ idasi ni eyikeyi ọna ti o ṣee ṣe si idagbasoke itesiwaju awọn ọja iyalẹnu mejeeji wọnyi. Bi nigbagbogbo jọwọ ṣe asọye ni isalẹ pẹlu eyikeyi awọn didaba tabi awọn ibeere!