Instal dan konfigurasikan pfblockerng untuk daftar hitam DNS di pfsense firewall

Dalam artikel sebelumnya, pemasangan solusi firewall berbasis freebsd yang kuat yang dikenal sebagai PFSense telah dibahas. pfsense, seperti yang disebutkan dalam artikel sebelumnya, adalah solusi firewall yang sangat kuat dan fleksibel yang dapat memanfaatkan komputer lama yang mungkin berbaring tidak melakukan banyak hal.

Artikel ini akan berbicara tentang paket add-on yang luar biasa untuk pfsense yang disebut pfblockerng.

pfblockerng adalah paket yang dapat dipasang di PFSense untuk memberikan kemampuan Administrator Firewall untuk memperluas kemampuan firewall di luar firewall L2/L3/L4 yang statah.

Karena kemampuan penyerang dan penjahat cyber terus maju, demikian juga pertahanan yang harus dilakukan untuk menggagalkan upaya mereka. Seperti halnya apa pun di dunia komputasi, tidak ada satu solusi yang memperbaiki semua produk di luar sana.

pfblockerng memberikan pfsense kemampuan firewall untuk memungkinkan/menolak item berbasis keputusan seperti geolokasi alamat IP, nama domain sumber daya, atau peringkat Alexa dari situs web tertentu.

Kemampuan untuk membatasi item seperti nama domain sangat menguntungkan karena memungkinkan administrator untuk menggagalkan upaya mesin internal yang mencoba terhubung ke domain buruk yang diketahui (dengan kata lain, domain yang mungkin diketahui memiliki malware, konten ilegal, atau lainnya potongan data yang berbahaya).

Panduan ini akan berjalan melalui mengkonfigurasi perangkat firewall PFSense untuk menggunakan paket PFBlockerng serta beberapa contoh dasar daftar blok domain yang dapat ditambahkan/dikonfigurasikan ke dalam alat PFBlockerng.

Persyaratan

Artikel ini akan membuat beberapa asumsi dan akan dibangun dari artikel instalasi sebelumnya tentang pfsense. Asumsinya adalah sebagai berikut:

• PFSense sudah diinstal dan tidak memiliki aturan yang dikonfigurasi saat ini (Clean Slate).
• Firewall hanya memiliki WAN dan LAN Port (2 port).
• Skema IP yang digunakan di sisi LAN adalah 192.168.0.0/24.

Perlu dicatat bahwa pfblockerng dapat dikonfigurasi pada firewall pfsense yang sudah berjalan/dikonfigurasi. Alasan asumsi ini di sini hanyalah demi kewarasan dan banyak tugas yang akan diselesaikan, masih dapat dilakukan pada kotak PfSense yang tidak bersih.

Diagram lab

Gambar di bawah ini adalah diagram lab untuk lingkungan pfsense yang akan digunakan dalam artikel ini.

Diagram Jaringan PfSense

Instal pfblockerng untuk pfsense

Dengan lab siap untuk pergi, sekarang saatnya untuk memulai! Langkah pertama adalah terhubung ke antarmuka web untuk firewall pfsense. Sekali lagi lingkungan lab ini menggunakan 192.168.0.0/24 Jaringan dengan firewall bertindak sebagai gateway dengan alamat 192.168.0.1. Menggunakan browser web dan menavigasi ke 'https: // 192.168.0.1'Akan menampilkan halaman login pfsense.

Beberapa browser mungkin mengeluh tentang sertifikat SSL, ini normal karena sertifikat ditandatangani sendiri oleh firewall pfsense. Anda dapat dengan aman menerima pesan peringatan dan jika diinginkan, sertifikat yang valid yang ditandatangani oleh CA yang sah dapat diinstal tetapi berada di luar ruang lingkup artikel ini.

Peringatan PFSENSE SSL

Setelah berhasil mengklik 'Canggih' kemudian 'Tambahkan pengecualian… ', klik untuk mengonfirmasi pengecualian keamanan. Halaman login PFSense kemudian akan menampilkan dan memungkinkan administrator untuk masuk ke alat firewall.

jendela login pfsense

Setelah masuk ke halaman PFSense utama, klik pada 'Sistem'turunkan dan kemudian pilih'Manajer Paket'.

Manajer Paket PfSense

Mengklik tautan ini akan berubah ke jendela Paket Manajer. Halaman pertama yang dimuat adalah semua paket yang saat ini diinstal dan akan kosong (sekali lagi panduan ini mengasumsikan pemasangan pfsense yang bersih). Klik pada teks 'Paket yang tersedia'Untuk diberikan daftar paket yang dapat diinstal untuk PFSense.

paket yang tersedia pfsense

Setelah 'Paket yang tersedia'Halaman memuat, ketik'pfblocker' ke dalam 'Istilah pencarian'kotak dan klik'Mencari'. Item pertama yang dikembalikan harus menjadi pfblockerng. Temukan 'Install'Tombol di sebelah kanan deskripsi pfblockerng dan klik '+' untuk menginstal paket.

Halaman akan memuat ulang dan meminta administrator mengonfirmasi instalasi dengan mengklik 'Mengonfirmasi'.

Instal pfblockerng untuk pfsense

Setelah dikonfirmasi, pfSense akan mulai menginstal pfblockerng. Jangan menavigasi dari halaman penginstal! Tunggu sampai halaman menampilkan instalasi yang berhasil.

Instalasi PfBlockerng

Setelah instalasi selesai, konfigurasi pfblockerng dapat dimulai. Tugas pertama yang perlu diselesaikan adalah beberapa penjelasan tentang apa yang akan terjadi setelah pfblockerng dikonfigurasi dengan benar.

Setelah pfblockerng dikonfigurasi, permintaan DNS untuk situs web harus dicegat oleh firewall pfsense yang menjalankan perangkat lunak pfblockerng. pfblockerng kemudian akan memperbarui daftar domain buruk yang diketahui yang dipetakan ke alamat IP yang buruk.

Firewall PFSense perlu mencegat permintaan DNS agar dapat menyaring domain yang buruk dan akan menggunakan resolver DNS lokal yang dikenal sebagai Unbound. Ini berarti klien di antarmuka LAN perlu menggunakan firewall pfsense sebagai resolver DNS.

Jika klien meminta domain yang ada di daftar blok PFBlockerng, maka PFBlockerng akan mengembalikan alamat IP yang salah untuk domain. Mari kita mulai prosesnya!

Konfigurasi pfblockerng untuk pfsense

Langkah pertama adalah mengaktifkan DNS yang tidak terikat resolver di firewall pfsense. Untuk melakukan ini, klik pada 'Jasa'Turunkan menu lalu pilih'DNS Resolver'.

PFSENSE DNS Resolver

Saat halaman memuat ulang, pengaturan umum DNS Resolver akan dapat dikonfigurasi. Opsi pertama ini yang perlu dikonfigurasi adalah kotak centang untuk 'Aktifkan resolver DNS'.

Pengaturan berikutnya adalah mengatur port mendengarkan DNS (biasanya port 53), mengatur antarmuka jaringan yang harus didengarkan oleh resolver DNS (dalam konfigurasi ini, itu harus menjadi port LAN dan localhost), dan kemudian mengatur port keluar (harus wan dalam konfigurasi ini).

pfsense memungkinkan resolver DNS

Setelah pilihan dibuat, pastikan untuk mengklik 'Menyimpan'Di bagian bawah halaman dan kemudian klik'Menerapkan perubahan'Tombol yang akan muncul di bagian atas halaman.

Langkah selanjutnya adalah langkah pertama dalam konfigurasi pfblockerng secara khusus. Arahkan ke halaman konfigurasi pfblockerng di bawah 'Firewall'Menu lalu klik'pfblockerng'.

konfigurasi pfblockerng

Setelah pfblockerng dimuat, klik pada 'Dnsbl'Tab pertama untuk mulai menyiapkan daftar DNS sebelum mengaktifkan pfblockerng.

Mengatur daftar DNS

Ketika 'Dnsbl'Halaman memuat, akan ada serangkaian menu baru di bawah menu pfblockerng (disorot berwarna hijau di bawah). Item pertama yang perlu ditangani adalah 'Aktifkan DNSBLKotak centang (disorot berwarna hijau di bawah).

Kotak centang ini akan membutuhkan DNS yang tidak terikat Resolver dapat digunakan di kotak PFSense untuk memeriksa permintaan DNS dari klien LAN. Jangan khawatir Unbound dikonfigurasi lebih awal tetapi kotak ini perlu dicentang! Item lain yang perlu diisi di layar ini adalah 'IP virtual DNSBL'.

IP ini harus berada dalam rentang jaringan pribadi dan bukan IP yang valid di jaringan di mana pfsense sedang digunakan. Misalnya, jaringan LAN di 192.168.0.0/24 bisa menggunakan IP 10.0.0.1 Karena ini adalah IP pribadi dan bukan bagian dari jaringan LAN.

IP ini akan digunakan untuk mengumpulkan statistik serta memantau domain yang ditolak oleh pfblockerng.

Aktifkan DNSBL untuk pfsense

Menggulir ke bawah halaman, ada beberapa pengaturan lagi yang layak disebutkan. Yang pertama adalah 'Antarmuka mendengarkan DNSBL'. Untuk pengaturan ini, dan sebagian besar pengaturan, pengaturan ini harus diatur ke 'Lan'.

Pengaturan lainnya adalah 'Daftar tindakan' di bawah 'Pengaturan DNSBL IP Firewall'. Pengaturan ini menentukan apa yang harus terjadi ketika umpan DNSBL menyediakan alamat IP.

Aturan pfblockerng dapat diatur untuk melakukan sejumlah tindakan tetapi kemungkinan besar 'Menyangkal keduanya'Akan menjadi opsi yang diinginkan. Ini akan mencegah koneksi masuk dan keluar ke IP/domain pada umpan DNSBL.

Konfigurasikan DNSBL untuk pfsense

Setelah item telah dipilih, gulir ke bagian bawah halaman dan klik 'Menyimpan' tombol. Setelah halaman memuat ulang, sekarang saatnya untuk mengonfigurasi daftar blok DNS yang harus digunakan.

pfblockerng memberi administrator dua opsi yang dapat dikonfigurasi secara independen atau bersama -sama tergantung pada preferensi administrator. Dua opsi tersebut adalah feed manual dari halaman web atau mudah.

Untuk membaca lebih lanjut tentang perbedaan yang berbeda, silakan kunjungi beranda proyek: https: // easylist.ke/

Konfigurasikan pfblockerng easylist

Mari kita mendiskusikan dan mengkonfigurasi firstlist terlebih dahulu. Sebagian besar pengguna rumahan akan menemukan daftar ini cukup dan juga paling tidak membebani secara administratif.

Dua easylist yang tersedia di pfblockerng adalah 'Easylist W/O Elemen Menyembunyikan' Dan 'Easyprivacy'. Untuk menggunakan salah satu dari daftar ini, klik pertama pada 'Easylist DNSBL'Di bagian atas halaman.

Konfigurasikan EasyList DNSBL

Setelah halaman memuat ulang, Easylist Bagian konfigurasi akan tersedia. Pengaturan berikut perlu dikonfigurasi:

• Nama grup DNS - Pilihan pengguna tetapi tidak ada karakter khusus
• Keterangan - Pilihan Pengguna, Karakter Khusus Diizinkan
• Easylist Feeds State - Apakah daftar yang dikonfigurasi digunakan
• Feed EasyList - Daftar mana yang akan digunakan (EasyList atau EasyPrivacy) keduanya dapat ditambahkan
• Header/label - Pilihan pengguna tetapi tidak ada karakter khusus

Konfigurasi mudah untuk pfsense

Bagian selanjutnya digunakan untuk menentukan bagian mana dari daftar yang akan diblokir. Sekali lagi ini semua preferensi pengguna dan banyak dapat dipilih jika diinginkan. Pengaturan penting di 'DNSBL - Pengaturan EasyList' adalah sebagai berikut:

• Kategori - Preferensi pengguna dan beberapa dapat dipilih
• Daftar tindakan - Perlu diatur ke 'Unbound' untuk memeriksa permintaan DNS
• Perbarui frekuensi - Seberapa sering pfsense akan memperbarui daftar situs yang buruk

Pengaturan EasyList DNSBL

Saat pengaturan EasyList dikonfigurasi ke preferensi pengguna, pastikan untuk menggulir ke bagian bawah halaman dan klik 'Menyimpan' tombol. Setelah halaman memuat ulang, gulir ke bagian atas halaman dan klik pada 'Memperbarui'Tab.

Setelah di tab Update, periksa tombol radio untuk 'Muat ulang'dan kemudian periksa tombol radio untuk'Semua'. Ini akan berjalan melalui serangkaian unduhan web untuk mendapatkan daftar blok yang dipilih di halaman konfigurasi EasyList sebelumnya.

Ini harus dilakukan secara manual jika tidak daftar tidak akan diunduh sampai tugas cron yang dijadwalkan. Perubahan kapan saja dilakukan (daftar ditambahkan atau dihapus) Pastikan untuk menjalankan langkah ini.

Perbarui Pengaturan EasyList

Tonton jendela log di bawah ini untuk kesalahan apa pun. Jika semuanya berjalan sesuai rencana, mesin klien di sisi LAN firewall harus dapat meminta firewall pfsense untuk situs buruk yang diketahui dan menerima alamat IP yang buruk sebagai imbalannya. Sekali lagi mesin klien harus diatur untuk menggunakan kotak pfsense sebagai resolver DNS mereka!

Periksa nslookup untuk kesalahan

Perhatikan di NSLOOKUP di atas bahwa URL mengembalikan IP palsu yang dikonfigurasi sebelumnya dalam konfigurasi PFBlockerng. Ini adalah hasil yang diinginkan. Ini akan menghasilkan permintaan apa pun ke URL '100 padi.com'Diarahkan ke alamat IP palsu 10.0.0.1.

Konfigurasikan umpan DNSBL untuk pfsense

Berbeda dengan Adblock Easylists, Ada juga kemampuan untuk menggunakan daftar hitam DNS lainnya dalam pfblockerng. Ada ratusan daftar yang digunakan untuk melacak perintah dan kontrol malware, spyware, adware, tor node, dan segala macam daftar berguna lainnya.

Daftar ini sering dapat ditarik ke dalam pfblockerng dan juga digunakan sebagai daftar hitam DNS lebih lanjut. Ada beberapa sumber daya yang menyediakan daftar yang berguna:

• https: // forum.pfsense.org/indeks.php?Topik = 114499.0
• https: // forum.pfsense.org/indeks.php?Topik = 102470.0
• https: // forum.pfsense.org/indeks.php?Topik = 86212.0

Tautan di atas menyediakan utas di forum PfSense di mana anggota telah memposting banyak koleksi daftar yang mereka gunakan. Beberapa daftar favorit penulis termasuk yang berikut:

• http: // adway.org/host.txt
• http: // www.Malwaredomainlist.com/hostslist/host.txt
• http: // pgl.yoyo.org/adserver/daftar server.php?hostFormat = hosts & mimetype = plaintext
• https: // zeustracker.melecehkan.CH/Blocklist.php?download = domainblocklist
• https: // inti.Githubusercontent.com/bbcan177/4a8bf37c131be4803cb2/mentah

Sekali lagi ada banyak daftar lain dan penulis sangat mendorong bahwa individu mencari lebih banyak/daftar lainnya. Mari kita lanjutkan dengan tugas konfigurasi.

Langkah pertama adalah masuk ke menu konfigurasi pfblockerng lagiFirewall' -> 'pfblockerng' -> 'Dsnbl'.

Sekali lagi di halaman konfigurasi DNSBL, klik pada 'DNSBL Feeds'Teks dan kemudian klik pada'Menambahkan'Tombol Setelah halaman menyegarkan.

Konfigurasikan umpan DNSBL untuk pfsense

Tombol Add akan memungkinkan administrator untuk menambahkan lebih banyak daftar alamat IP buruk atau nama DNS ke perangkat lunak PFBlockerng (dua item yang sudah ada dalam daftar adalah penulis dari pengujian). Tombol Add membawa administrator ke halaman tempat daftar DNSBL dapat ditambahkan ke firewall.

Konfigurasi Badlist DNS

Pengaturan penting dalam output ini adalah sebagai berikut:

• Nama grup DNS - Pengguna yang dipilih
• Keterangan - Berguna untuk menjaga agar kelompok tetap teratur
• Pengaturan DNSBL - Ini adalah daftar yang sebenarnya
• Negara - Apakah sumber itu digunakan atau tidak dan bagaimana itu diperoleh
• Sumber - Tautan/Sumber Daftar Hitam DNS
• Header/label - Pilihan pengguna; tidak ada karakter khusus
• Daftar tindakan - Diatur ke Unbound
• Perbarui frekuensi - Seberapa sering daftar harus diperbarui

Setelah pengaturan ini diatur, klik menyimpan tombol turun di bagian bawah halaman. Seperti halnya perubahan pada PFBlockerng, perubahan akan berlaku pada interval cron yang dijadwalkan berikutnya atau administrator dapat secara manual memaksa memuat ulang dengan menavigasi ke 'Memperbarui'tab, klik'Muat ulang'tombol radio, lalu klik'Semua' tombol radio. Setelah itu dipilih, klik 'Berlari' tombol.

DNSBL Feeds Perbarui Pengaturan

Tonton jendela log di bawah ini untuk kesalahan apa pun. Jika semuanya berjalan sesuai rencana, uji bahwa daftar itu berfungsi hanya dengan mencoba melakukan nslookup dari klien di sisi LAN ke salah satu domain yang tercantum dalam salah satu file teks yang digunakan dalam konfigurasi DNSBL.

Tonton DNS Lookup

Seperti dapat dilihat pada output di atas, perangkat PFSense mengembalikan alamat IP virtual yang dikonfigurasi dalam pfblockerng sebagai IP yang buruk untuk domain daftar hitam.

Pada titik ini administrator dapat terus menyetel daftar dengan menambahkan lebih banyak daftar atau membuat daftar domain/IP khusus. pfblockerng akan terus mengarahkan kembali domain terbatas ini ke alamat IP palsu.

Terima kasih telah membaca artikel ini tentang pfblockerng. Harap tunjukkan apresiasi atau dukungan Anda untuk perangkat lunak PFSense serta pfblockerng dengan berkontribusi dalam pengembangan yang berkelanjutan dari kedua produk yang luar biasa ini. Seperti biasa, harap komentar di bawah ini dengan saran atau pertanyaan!