PfSense Firewall-da DNS gara sanawy üçin pfBlockerNg guruň we sazlaň


Öňki makalada pfSense diýlip atlandyrylýan güýçli FreeBSD esasly firewall çözgüdi gurmak meselesi ara alnyp maslahatlaşyldy. pfSense, öňki makalada aýdylyşy ýaly, gaty güýçli we çeýe firewall çözgüdi bolup, köne kompýuterden kän bir zat etmezligi mümkin.

Bu makalada pfBlockerNG atly pfsense üçin ajaýyp goşmaçalar bukjasy barada gürleşmekçi.

pfBlockerNG, gorag diwary administratoryna adaty döwlet L2/L3/L4 gorag diwaryndan has giňelmek ukybyny üpjün etmek üçin pfSense-de gurnalyp bilinýän paketdir.

Hüjümçileriň we kiber jenaýatçylaryň mümkinçilikleri öňe gitmegi bilen, tagallalaryny puja çykarmak üçin ýerleşdirilen goraglar hem bolmaly. Hasaplaýyş dünýäsinde bolşy ýaly, ähli önümi şol ýerde düzedip boljak çözgüt ýok.

pfBlockerNG gorag diwary üçin IP adresiniň ýerleşişi, çeşmäniň domen ady ýa-da belli bir web sahypalarynyň Alexa bahalary ýaly kararlara esaslanýan zatlary kabul etmek/inkär etmek ukyby bilen pfSense üpjün edýär.

Domen atlary ýaly elementleri çäklendirmek ukyby, administratorlara belli erbet domenlere (başgaça aýdylanda zyýanly programma üpjünçiligi, bikanun mazmun ýa-da başga bir zat bilen tanalýan domenler) birikmäge synanyşýan içerki maşynlaryň synanyşyklaryny puja çykarmaga mümkinçilik berýär. mekir maglumatlar).

Bu gollanma, pfBlockerNG paketini ulanmak üçin pfSense firewall enjamyny, şeýle hem pfBlockerNG guralyna goşup/sazlap boljak domen blok sanawlarynyň käbir esasy mysallaryny öwrener.

Bu makala birnäçe çaklamalar eder we pfSense hakda öňki gurnama makalasyndan çykar. Çaklamalar aşakdaky ýaly bolar:

  • pfSense eýýäm guruldy we häzirki wagtda düzülen düzgünleri ýok (arassa şifer).
  • Gorag diwarynda diňe WAN we LAN porty (2 port) bar.
  • LAN tarapynda ulanylýan IP shemasy 192.168.0.0/24.

PfBlockerNG-iň eýýäm işleýän/düzülen pfSense gorag diwarynda sazlap boljakdygyny bellemelidiris. Bu ýerdäki çaklamalaryň sebäbi diňe akylyň hatyrasyna we ýerine ýetirilmeli köp meseleler henizem arassa däl şifer pfSense gutusynda edilip bilner.

Aşakdaky surat, bu makalada ulanyljak pfSense gurşawy üçin laboratoriýa diagrammasy.

PfSense üçin pfBlockerNG guruň

Laboratoriýa gitmäge taýyn bolansoň, başlamagyň wagty geldi! Birinji ädim, pfSense firewall üçin web interfeýsine birikmek. Againene-de bu laboratoriýa gurşawy 192.168.0.0/24 toruny, 192.168.0.1 salgysy bilen şlýuz hökmünde çykyş edýän gorag diwaryny ulanýar. Web brauzerini ulanmak we “https://192.168.0.1” -e geçmek pfSense giriş sahypasyny görkezer.

Käbir brauzerler SSL şahadatnamasyndan zeýrenip bilerler, bu şahadatnamanyň pfSense firewall tarapyndan öz-özüne gol çekendigi sebäpli adaty zat. Duýduryş habaryny arkaýyn kabul edip bilersiňiz we isleseňiz kanuny CA tarapyndan gol çekilen hakyky şahadatnama gurnalyp bilner, ýöne bu makalanyň çäginden çykmaýar.

Öňdebaryjy, soňra bolsa Kadadan çykma goş ... üstünlikli basanyňyzdan soň, howpsuzlyk kadasyny tassyklamak üçin basyň. Soňra pfSense giriş sahypasy görkeziler we administratoryň diwar gorag enjamyna girmegine rugsat berer.

Esasy pfSense sahypasyna gireniňizden soň, aşak düşýän Ulgam düwmesine basyň we Paket dolandyryjysy -ny saýlaň.

Bu baglanyşyga bassaňyz, paket dolandyryjysynyň penjiresine üýtgär. Toüklemeli ilkinji sahypa häzirki gurnalan paketleriň hemmesi bolar we boş bolar (ýene-de bu gollanma arassa pfSense gurnamagy göz öňünde tutýar). PfSense üçin gurnalan paketleriň sanawyny bermek üçin Elýeterli paketler tekstine basyň.

Elýeterli paketler sahypasy ýüklenenden soň, Gözleg termini gutusyna pfblocker ýazyň we Gözlemek düwmesine basyň. Yza gaýtarylan ilkinji element pfBlockerNG bolmaly. PfBlockerNG düşündirişiniň sag tarapynda Gurmak düwmesini tapyň we bukjany gurmak üçin '+' düwmesine basyň.

Sahypa täzeden ýüklener we administratordan Tassykla düwmesine basyp gurnamany tassyklamagyny haýyş eder.

Tassyklanylandan soň pfSense pfBlockerNG gurup başlar. Gurnaýjy sahypasyndan daşlaşmaň! Sahypa üstünlikli gurnama görkezilýänçä garaşyň.

Gurmak gutaransoň, pfBlockerNG konfigurasiýasy başlap biler. PfBlockerNG dogry düzülenden soň nämeleriň boljakdygy barada käbir düşündirişler bolsa-da, ýerine ýetirilmeli ilkinji mesele.

PfBlockerNG düzülenden soň, web sahypalary üçin DNS islegleri, pfBlockerNG programma üpjünçiligini işleýän pfSense gorag diwary tarapyndan saklanmalydyr. pfBlockerNG şondan soň erbet IP adrese düzülen belli domenleriň sanawlaryny täzelär.

PfSense firewall, erbet domenleri süzüp bilmek üçin DNS haýyşlaryny saklamaly we UnBound ady bilen belli ýerli DNS çözüjisini ulanar. Bu, LAN interfeýsindäki müşderileriň pfSense gorag diwaryny DNS çözüji hökmünde ulanmalydygyny aňladýar.

Müşderi pfBlockerNG-iň blok sanawlarynda domen sorasa, pfBlockerNG domen üçin ýalňyş ip adresini yzyna iberer. Geliň, işe başlalyň!

pfSense üçin pfBlockerNG konfigurasiýasy

Birinji ädim, pfSense gorag diwaryndaky UnBound DNS çözüjisini işletmek. Munuň üçin Hyzmatlar açylan menýusyna basyň we DNS Resolver -i saýlaň.

Sahypa täzeden ýüklenende, DNS çözüjiniň umumy sazlamalary düzülip bilner. Düzülmeli bu ilkinji wariant, DNS çözüjisini işlet belligi.

Indiki sazlamalar, DNS çözüjiniň diňlemeli tor interfeýslerini düzmek (bu konfigurasiýada LAN porty we Localhost bolmaly) DNS diňleýiş portuny (adatça 53-nji port) düzmek, soňra bolsa egress portuny düzmek. bu konfigurasiýada WAN boluň).

Saýlawlar geçirilenden soň, sahypanyň aşagyndaky Saklamak düwmesine basyň we sahypanyň ýokarsynda peýda boljak Üýtgeşmeleri ulanyň düwmesine basyň.

Indiki ädim, ýörite pfBlockerNG konfigurasiýasynda ilkinji ädimdir. Firewall menýusynyň aşagyndaky pfBlockerNG konfigurasiýa sahypasyna geçiň we pfBlockerNG -e basyň.

PfBlockerNG ýüklenenden soň, pfBlockerNG işjeňleşdirmezden ozal DNS sanawlaryny düzüp başlamak üçin DNSBL goýmasyna basyň.

“DNSBL” sahypasy ýüklenende, pfBlockerNG menýusynyň aşagynda täze menýular toplumy bolar (aşaky ýaşyl reňkde görkezilýär). Ilki bilen çözülmeli zat, DNSBL-i işlet belligi (aşaky ýaşyl reňkde görkezilýär).

Bu bellik gutusy, LAN müşderilerinden dns isleglerini barlamak üçin pfSense gutusynda UnBound DNS çözüjisiniň ulanylmagyny talap eder. UnBound-yň öň düzüleninden gorkmaň, ýöne bu gutu barlanmalydyr! Bu ekranda doldurylmaly beýleki zat, DNSBL Wirtual IP.

Bu IP, pfSense ulanylýan torda dogry IP däl-de, hususy tor aralygynda bolmaly. Mysal üçin, 192.168.0.0/24-de LAN ulgamy, şahsy IP bolany üçin we LAN torunyň bir bölegi däldigi üçin 10.0.0.1 IP ulanyp biler.

Bu IP statistika ýygnamak we pfBlockerNG tarapyndan ret edilýän domenlere gözegçilik etmek üçin ulanylar.

Sahypany aşak aýlap, ýene-de birnäçe bellemeli sazlamalar bar. Birinjisi, 'DNSBL diňlemek interfeýsi'. Bu gurnama we sazlamalaryň köpüsi üçin bu sazlama LAN bolmaly.

Beýleki sazlama, DNSBL IP Firewall sazlamalary astyndaky Sanaw hereketi. Bu sazlama, DNSBL iýminiň IP adresleri bilen üpjün edilende nämeleriň bolmalydygyny kesgitleýär.

“PfBlockerNG” düzgünleri islendik çäräni ýerine ýetirmek üçin düzülip bilner, ýöne “Ikisini inkär etmek” islenýän warianty bolmagy ähtimal. Bu, DNSBL iýmitindäki IP/domene girmegiň we çykmagyň öňüni alar.

Harytlar saýlanansoň, sahypanyň aşagyna aýlaň we Saklamak düwmesine basyň. Sahypa täzeden açylansoň, ulanylmaly DNS Blok sanawlaryny düzmegiň wagty geldi.

pfBlockerNG administratoryň islegine baglylykda özbaşdak ýa-da bilelikde düzülip bilinjek iki warianty üpjün edýär. Iki wariant beýleki web sahypalaryndan ýa-da “EasyLists” -den el bilen iýmitlenýär.

Dürli “EasyLists” hakda has giňişleýin maglumat üçin taslamanyň baş sahypasyna girmegiňizi haýyş edýäris: https://easylist.to/

PfBlockerNG EasyList sazlaň

Ilki bilen “EasyLists” -i ara alyp maslahatlaşalyň we düzeliň. Öý ulanyjylarynyň köpüsi bu sanawlary ýeterlikli we administratiw taýdan iň agyr diýip hasaplaýarlar.

PfBlockerNG-de bar bolan iki sany “EasyList” “EasyList w/o elementi gizlemek” we “EasyPrivacy”. Bu sanawlardan birini ulanmak üçin ilki bilen sahypanyň ýokarsyndaky DNSBL EasyList -e basyň.

Sahypa täzeden ýüklenenden soň, “EasyList” konfigurasiýa bölümi elýeterli bolar. Aşakdaky sazlamalar düzülmeli:

  • DNS Toparyň ady - Ulanyjynyň islegi, ýöne aýratyn nyşan ýok
  • Düşündiriş - Ulanyjynyň saýlamagy, ýörite nyşanlara rugsat berilýär
  • “EasyList Feeds State” - düzülen sanaw ulanylýarmy
  • EasyList Feed - Haýsy sanawy ulanmaly (EasyList ýa-da EasyPrivacy) ikisini hem goşup bolýar
  • erazgy/Etiketka - Ulanyjy saýlamagy, ýöne aýratyn nyşan ýok

Indiki bölüm sanawlaryň haýsy bölekleriniň petiklenjekdigini kesgitlemek üçin ulanylýar. Againene-de bularyň hemmesi ulanyjynyň islegidir we isleseňiz köp saýlanyp bilner. “DNSBL - EasyList sazlamalary” -daky möhüm sazlamalar aşakdakylar:

  • Kategoriýalar - Ulanyjynyň islegi we köp sanlysy saýlanyp bilner
  • Sanawyň hereketi - DNS haýyşlaryny barlamak üçin Çekilmeli bolmaly
  • quygylygy täzeläň - pfSense erbet saýtlaryň sanawyny näçe gezek täzelär

“EasyList” sazlamalary ulanyjynyň isleglerine görä düzülende, sahypanyň aşagyna aýlaň we “Saklamak” düwmesine basyň. Sahypa täzeden açylansoň, sahypanyň ýokarsyna aýlaň we Täzelenme goýmasyna basyň.

Täzelenme goýmasynda bir gezek “eloüklemek” üçin radio düwmesini barlaň we “Hemmesi” üçin radio düwmesini barlaň. Bu, öň “EasyList” konfigurasiýa sahypasynda saýlanan blok sanawlaryny almak üçin birnäçe web ýüklemesiniň üsti bilen amala aşyrylar.

Bu el bilen edilmeli, ýogsam sanawlar meýilleşdirilen kron meselesine çenli göçürilmez. Islendik wagt üýtgeşmeler girizilýär (sanawlar goşuldy ýa-da aýryldy) bu ädimi hökman ýerine ýetiriň.

Anyalňyşlyklar üçin aşakdaky gündelik penjire serediň. Hemme zat meýilleşdirilen bolsa, gorag diwarynyň LAN tarapyndaky müşderi maşynlary belli erbet saýtlar üçin pfSense gorag diwaryny sorap bilmeli we öwezine erbet ip adreslerini almaly. Againene-de müşderi maşynlary pfsense gutusyny DNS çözgüdi hökmünde ulanmaly!

Aboveokardaky nslookup-da url-yň pfBlockerNG konfigurasiýalarynda öň düzülen ýalan IP-ni yzyna gaýtaryp berýändigine üns beriň. Bu islenýän netije. Bu, 100pour.com URL-den 10.0.0.1 ýalňyş IP adresine ugrukdyrylmagyny islär.

PfSense üçin DNSBL iýmitlerini sazlaň

“AdBlock EasyLists” -den tapawutlylykda, pfBlockerNG-iň içinde beýleki DNS Gara sanawlary ulanmak mümkinçiligi hem bar. Zyýanly programma üpjünçiligini we gözegçiligi, içaly programma üpjünçiligini, mahabat programma üpjünçiligini, tor düwünlerini we beýleki dürli peýdaly sanawlary yzarlamak üçin ulanylýan ýüzlerçe sanaw bar.

Bu sanawlar köplenç pfBlockerNG-e çekilip, DNS gara sanawlary hökmünde ulanylyp bilner. Peýdaly sanawlary berýän çeşmeler gaty az:

  • https://forum.pfsense.org/index.php?topic=114499.0
  • https://forum.pfsense.org/index.php?topic=102470.0
  • https://forum.pfsense.org/index.php?topic=86212.0

Aboveokardaky baglanyşyklar, agzalaryň ulanýan sanawynyň uly ýygyndysyny ýerleşdiren pfSense forumynda sapaklar berýär. Awtoryň halaýan sanawlarynyň käbiri aşakdakylary öz içine alýar:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

Againene-de birnäçe sanaw bar we awtor şahsyýetleriň has köp/beýleki sanawlary gözlemegini berk höweslendirýär. Geliň, konfigurasiýa meselelerini dowam etdireliň.

Birinji ädim, ýene-de Firewall -> pfBlockerNG -> DSNBL arkaly pfBlockerNG-iň konfigurasiýa menýusyna girmek.

DNSBL konfigurasiýa sahypasynda ýene bir gezek DNSBL Feeds tekstine basyň we sahypa täzelenenden soň Goş düwmesine basyň.

Goşmak düwmesi dolandyryja pfBlockerNG programma üpjünçiligine erbet IP adresleriniň ýa-da DNS atlarynyň has köp sanawyny goşmaga mümkinçilik berer (sanawda eýýäm iki zat awtoryň synagyndan). Goşmak düwmesi administratoryň gorag diwaryna DNSBL sanawlaryny goşup boljak sahypa getirýär.

Bu çykyşdaky möhüm sazlamalar aşakdakylar:

  • DNS Toparyň ady - Ulanyjy saýlandy
  • Düşündiriş - Toparlary tertipli saklamak üçin peýdaly
  • DNSBL sazlamalary - Bular hakyky sanawlar
    • Döwlet - Şol çeşmäniň ulanylandygy ýa-da ýokdugy we nädip alynýandygy
    • Çeşme - DNS gara sanawyň baglanyşygy/çeşmesi
    • sözbaşy/bellik - Ulanyjy saýlamak; ýörite nyşan ýok

    Bu sazlamalar gurlansoň, sahypanyň aşagyndaky saklamak düwmesine basyň. PfBlockerNG-de bolşy ýaly, üýtgeşmeler indiki meýilleşdirilen kron aralygynda güýje girer ýa-da administrator 'Täzelenme' goýmasyna geçip, täzeden ýüklemäge mejbur edip biler, 'eloükle' radio düwmesine basyň we 'Hemmesi' düwmesine basyň. radio düwmesi. Bular saýlanandan soň, Işlet düwmesine basyň.

    Anyalňyşlyklar üçin aşakdaky gündelik penjire serediň. Everythinghli zat meýilleşdirilen bolsa, sanawlaryň DNSBL konfigurasiýasynda ulanylýan tekst faýllarynyň birinde görkezilen domenleriň birine tarap bir müşderiden nslookup synanyşmak arkaly işleýändigini barlaň.

    Aboveokardaky çykyşdan görnüşi ýaly, pfSense enjamy pfBlockerNG-de gara sanaw domenleri üçin erbet IP hökmünde düzülen wirtual IP adresi yzyna gaýtaryp berýär.

    Bu pursatda administrator has köp sanaw goşmak ýa-da ýörite domen/IP sanawlaryny döretmek arkaly sanawlary düzmegi dowam etdirip biler. pfBlockerNG bu çäklendirilen domenleri galp IP adrese gönükdirmegi dowam etdirer.

    PfBlockerNG hakda bu makalany okanyňyz üçin sag boluň. Bu ajaýyp önümleriň ikisiniň hem dowam etdirilmegine mümkin boldugyça goşant goşup, pfSense programma üpjünçiligine, şeýle hem pfBlockerNG-ä minnetdarlygyňyzy ýa-da goldawyňyzy görkezmegiňizi haýyş edýäris. Hemişe bolşy ýaly aşakda islendik teklip ýa-da sorag bilen düşündiriş bermegiňizi haýyş edýäris!