Bloquez les publicités et les logiciels malveillants sur pfSense avec pfBlockerNG
Si vous recherchez une solution de pare-feu/routeur puissante mettant l’accent sur la sécurité, pfSense CE devrait figurer en tête de votre liste. Construit sur FreeBSD, pfSense CE fournit une gamme d'outils pour vous aider à configurer un réseau sécurisé adapté à vos spécifications. Même sans aucune personnalisation, pfSense sera toujours plus sécurisé que n'importe quel routeur acheté en magasin.
Avant d’aller plus loin, vous remarquerez que j’utilise le nom pfSense CE. CE signifie Édition Communautaire. Il existe actuellement deux versions de pfSense disponibles : pfSense CE et pfSense Plus. pfSense CE est entièrement open source, tandis que pfSense Plus ajoute des fonctionnalités supplémentaires avec un code propriétaire. Les deux versions sont gratuites pour les utilisateurs individuels. Ce guide utilise pfSense CE.
Un package complémentaire extrêmement populaire pour pfSense CE/Plus est pfBlockerNG. Le package améliore encore les fonctionnalités de votre pare-feu en vous donnant la possibilité de filtrer les connexions entrantes et sortantes à l’aide de listes de blocage IP et DNS.
Les deux fonctions principales de pfBlockerNG sont :
Filtrage du trafic entrant et sortant basé sur IP
pfBlockerNG vous permet de filtrer le trafic entrant et sortant à l'aide de listes IP. Il peut également mettre en œuvre des restrictions GeoIP pour autoriser ou interdire le trafic vers et depuis certains pays. Cela peut être particulièrement bénéfique si vous ouvrez des ports sur votre WAN.
Blocage des publicités et des sites malveillants basé sur DNS
pfBlockerNG peut bloquer les publicités et empêcher l'accès à sites malveillants sans avoir besoin d'un serveur proxy. Il y parvient grâce au blocage basé sur le DNS, parfois appelé DNS blackholing. Grâce à pfBlockerNG, vos requêtes DNS sont référencées par rapport à une liste de domaines bloqués lorsque vous vous déplacez sur Internet. S’il y a une correspondance, la demande est refusée. Dans le cas contraire, cela passe sans entrave.
Nous allons examiner et configurer les deux fonctions, en fournissant plus de détails sur chacune d'elles au fur et à mesure.
Ce guide suppose que vous disposez d'une configuration pfSense fonctionnelle avec une configuration d'interface WAN et LAN.
Commençons.
Installation de pfBlockerNG-devel
La première chose à faire est d'installer pfBlockerNG.
- Sélectionner Système > Gestionnaire de packages dans les menus supérieurs. Ceci affiche le I Paquets installés onglet du Directeur chargé d'emballage .
- Allez au Forfaits disponibles languette. Cela affiche la liste des packages disponibles.
- Faites défiler la page pour trouver pfBlockerNG . Vous remarquerez qu'il y a deux entrées pour pfBlockerNG : pfBlockerNG et pfBlockerNG-développement . Sélectionner pfBlockerNG-développement . Bien que le suffixe « devel » (qui signifie version de développement) donne l’impression qu’il s’agit d’un package bêta, ce n’est pas le cas. La version « devel » est entièrement fonctionnelle et en cours de développement actif. Le développeur derrière le package préfère simplement le considérer comme un logiciel bêta car il ajoute continuellement de nouvelles fonctionnalités pour mettre à jour le package.
- Clique le Installer bouton à droite de pfBlockerNG-développement . Cela fait apparaître le Installateur de paquets fenêtre.
- Cliquez sur Confirmer pour démarrer l'installation.
- Une fois terminé, Succès doit être affiché au bas de la Installateur de paquets fenêtre. Vous avez installé avec succès pfBlockerNG-développement .
Configuration de base
pfBlockerNG-développement est maintenant installé. Pour commencer à configurer le package, nous allons configurer Filtrage IP et GeoIP .
Nous allons configurer pfBlockerNG section par section. Les paramètres que nous ne mentionnons pas doivent rester intacts et laissés à leurs valeurs par défaut.
- Sélectionner Pare-feu > pfBlockerNG dans les menus supérieurs. Cela fait apparaître le Assistant de configuration de pfBlocker .
- L'assistant nous propose deux options : 1) exécuter l'assistant de configuration ou 2) configurer pfBlockerNG manuellement. Ce guide vous montre comment configurer pfBlockerNG manuellement. Cliquez sur le rouge ICI pour quitter l'assistant. Cela nous amène au Général page des paramètres de pfBlockerNG.
Général / Paramètres généraux
- Cochez le Activer boîte à côté pfBlockerNG . Sans surprise, cela active le service.
- Cliquez sur Sauvegarder (au bas de la page).
- Laissez tous les autres paramètres de cette page intacts.
Filtrage IPv4
Configuration IP/IP
- Clique le IP onglet pour afficher le IP page des paramètres.
- Cochez le Déduplication boîte. Cela supprime les entrées en double qui peuvent apparaître lors de l'utilisation de plusieurs flux IP.
- Cochez le Agrégation CIDR boîte.
- Cochez le Suppression boîte. Suppression garantit que le trafic vers vos sous-réseaux locaux n'est pas bloqué.
Configuration IP/MaxMind GeoIP
pfBlockerNG GéoIP La fonctionnalité vous permet de filtrer le trafic vers et depuis des pays entiers – ou même des continents. Il utilise la base de données MaxMind GeoIP, qui nécessite une clé de licence (gratuite). Un lien dans l'interface utilisateur de pfSense (dans le MaxMind Licence Clé description du champ) des liens vers la page d'inscription MaxMind. Remplissez le formulaire d'inscription pour obtenir votre clé de licence gratuite. Une fois que vous avez obtenu votre clé de licence, copiez-la et collez-la dans le Clé de licence MaxMind champ.
IP / Interface IP/Configuration des règles
Dans cette section, sélectionnez les interfaces entrantes et sortantes sur lesquelles pfBlockerNG doit appliquer le filtrage IPv4, IPv6 et GeoIP.
- Du Règles de pare-feu entrant champ, sélectionnez PAR (et toutes les autres interfaces de type WAN dont vous disposez et que vous souhaitez filtrer).
- Du Règles de pare-feu sortant champ, sélectionnez ET (et toute autre interface de type LAN dont vous disposez et que vous souhaitez filtrer).
- Cochez le Activer boîte à côté Règles flottantes . Les règles flottantes diffèrent des règles de pare-feu que vous configurez sur chaque interface ; ils sont traités et appliqués avant les règles de pare-feu « normales ». L’utilisation de règles flottantes garantit que le filtrage de pfBlockerNG est déclenché dès que le pare-feu détecte le trafic incriminé. En cochant cette case, pfBlockerNG crée automatiquement les règles flottantes pour vous.
- Cliquez sur Enregistrer les paramètres IP au bas de la page.
Flux
Nous allons maintenant ajouter quelques listes de blocage à pfBlockerNG. pfBlockerNG est fourni avec certains flux intégrés que nous pouvons utiliser (les flux et les listes signifient la même chose dans pfBlockerNG). Bien que vous soyez libre d'utiliser vos propres listes personnalisées, avoir des « préréglages » est très pratique car la recherche de listes de blocage sur Internet prend du temps, et bon nombre de celles que vous trouverez ne fonctionneront pas ou ne seront plus maintenues. . pfBlockerNG met régulièrement à jour ses flux groupés, alors n'hésitez pas et utilisez-les.
- Clique sur le Flux languette.
- Cliquez sur le bleu + à gauche de PRI1 au sommet. PRI1 est un groupe de flux (plusieurs listes). En cliquant sur le bleu + vous emmène au IP/IPv4 page, qui affiche vos flux sélectionnés. La plupart des champs pertinents sont remplis automatiquement.
IP/IPv4
En haut de la page, pfBlockerNG affiche le nom de la collection de flux et sa description. Vous trouverez ci-dessous les URL des flux inclus et leurs descriptions sur la droite. Tous nos flux sont configurés pour DÉSACTIVÉ par défaut. Nous allons les activer.
Avant cela, nous allons supprimer l'un des flux du PRI1 groupe. Le 7ème flux depuis le haut, Plongée pulsée , nécessite une clé API payante. Ce guide ne nécessite pas l'achat de la clé API, alors cliquez sur l'orange Supprimer bouton à côté du Plongée pulsée liste.
- Une fois Pulsedive supprimé, définissez les flux restants sur SUR .
- Allez au Paramètres section de la page située sous la liste des flux.
- Le premier champ est le Action menu déroulant. Sélectionner Refuser les deux . Cela bloquera les adresses IP dans les listes ci-dessus de manière bidirectionnelle (vers et depuis les adresses IP contenues dans les flux). Vous pouvez refuser les connexions entrantes, sortantes, ou les deux. Gardez à l'esprit que si vous refusez uniquement le trafic entrant, lorsqu'un hôte de votre réseau établit une connexion sortante vers l'une des adresses IP des listes ci-dessus, pfBlocker autorisera la réponse entrante à partir de cette adresse IP. Dans notre exemple, je sélectionnerai Refuser les deux .
- Cliquez sur Enregistrer les paramètres IPv4 (en bas de page).
Si votre FAI attribue à la fois une adresse IP IPv4 et IPv6 à votre WAN, vous pouvez appliquer les mêmes étapes de configuration pour IPv6 sur le réseau étendu. IPv6 languette. Actuellement, la majorité des utilisateurs utilisent toujours des réseaux uniquement IPv4.
Filtrage GeoIP
Nous allons forcer une mise à jour de pfBlockerNG avant de configurer le filtrage GeoIP. Une fois configuré, pfBlocker se mettra automatiquement à jour à des intervalles définis. Mais comme le filtrage GeoIP repose sur la base de données MaxMind, pfBlocker doit télécharger la base de données avant de la configurer.
- Du pfBlockerNG paramètres , sélectionnez le Mise à jour languette.
- Clique le Bouton Exécuter pour démarrer la mise à jour.
- Tu devrais voir PROCESSUS DE MISE À JOUR TERMINÉ au fond du Enregistrer fenêtre une fois la mise à jour terminée.
- La fenêtre Journal montre que mes deux IPv4 les aliments et les GéoIP la base de données a été mise à jour.
Journaux IPv4
Journaux GeoIP
- Sélectionnez le GéoIP sous-menu à côté d'IPv6 dans le IP dans les paramètres de pfBlockerNG. Ceci affiche le GéoIP Résumé .
Le Résumé GéoIP regroupe les flux d’adresses GeoIP classés par continent. Il existe également deux catégories supplémentaires : Principaux spammeurs et Proxy et satellite . Le Principaux spammeurs La liste contient des blocs d’adresses IP provenant de pays où des attaques en ligne sont fréquemment lancées. Le Proxy et satellite La liste contient des blocs d’adresses IP provenant de pays connus pour être des fournisseurs anonymes de proxy et de satellite.
pfBlockerNG permet de filtrer le trafic vers/depuis un continent entier ou d'affiner le filtrage en sélectionnant uniquement certains pays.
Personnalisation des listes de pays
- Pour modifier un flux, cliquez sur l'icône icône de crayon à sa droite.
- Sélectionnez les pays que vous souhaitez inclure dans votre liste (et que pfBlocker filtrera).
- Cliquez sur Sauvegarder .
Configuration des blocs de pays
- Sélectionnez le GéoIP menu dans le Paramètres de pfBlocker .
- Comme avec le IPv4 listes, sélectionnez soit Bloquer les appels entrants , Bloquer les sorties , ou Bloquer les deux du Action menu déroulant à droite de la description de chaque liste.
Gardez quelques points à l’esprit lorsqu’il s’agit de bloquer les connexions sortantes ou entrantes vers des pays ou des continents. Si vous souhaitez bloquer uniquement les connexions sortantes, faites-le. Mais si vous envisagez de bloquer les connexions entrantes, notez que pfSense est configuré pour bloquer tout le trafic entrant non sollicité sur le WAN dès la sortie de la boîte . Ainsi, à moins que vous n’ayez des ports ouverts sur votre WAN, bloquer des pays ou des continents ne fera rien d’autre que prendre de la mémoire. Et si vous disposez de ports ouverts sur votre WAN, veillez à ne pas bloquer les connexions en provenance de pays qui devraient être autorisés à se connecter au(x) port(s) ouvert(s) de votre WAN.
Pour faciliter ce qui précède, pfBlockerNG vous permet de créer des alias personnalisés à partir de la base de données MaxMind GeoIP. Les alias sont des listes d'adresses IP intégrées à pfSense, et vous pouvez les utiliser pour élaborer des règles de pare-feu de redirection de port qui autorisent uniquement des pays spécifiques à accéder à vos ports ouverts. Le « reste du monde » sera bloqué par pfSense sans nécessiter aucune intervention de votre part.
Création d'un alias GeoIP dans pfBlockerNG
pfSense bloque par défaut le trafic qui n'est pas explicitement autorisé dans les règles de pare-feu, créez donc un alias contenant les pays à contacter. permettre à travers le pare-feu.
- Du IPv4 sous-menu, cliquez sur le vert Ajouter bouton.
- Saisissez un nom et une description pour votre alias.
- Sélectionner GéoIP du Format boîte.
- Met le État champ à SUR .
- Sélectionnez les pays que vous souhaitez ajouter à l'alias en tapant les premières lettres du pays que vous souhaitez ajouter à l'alias. Cela affiche les pays correspondant aux lettres que vous avez saisies.
- Vous pouvez ajouter plus de pays à votre alias en cliquant sur le bouton vert Ajouter bouton.
- Du Action case, sélectionnez Alias natif pour créer un alias pfBlocker natif.
- Sélectionner Une fois par jour dans le Fréquence de mise à jour boîte.
- Cliquez sur Enregistrer les paramètres IPv4 (en bas de page). Votre alias sera disponible pour être utilisé dans les règles de pare-feu après une mise à jour forcée de pfBlockerNG.
Si vous avez des ports ouverts et que vous souhaitez simplement une solution rapide et simple, vous pouvez bloquer les connexions entrantes depuis Principaux spammeurs et Proxy et satellite sans avoir à créer un alias personnalisé. Encore une fois, bloquer les connexions entrantes n’est utile que si votre WAN a des ports ouverts .
Si votre WAN n'a aucun port ouvert, bloquez uniquement le trafic sortant ou désactivez le filtrage GeoIP.
Test du filtrage IPv4
Avant d’aller plus loin, assurons-nous que pfBlocker est correctement configuré et filtre notre trafic. Pour cela, je vais tenter de me connecter à une adresse IP incluse dans mes flux IPv4 : 1.13.9.177.
Nous pouvons voir que l'adresse IP n'est pas traduite en nom de domaine et que la connexion est bloquée. Excellent.
Passons maintenant à pfBlocker DNSBL .
DNSBL
Nous avons configuré le filtrage IPv4 et le filtrage GeoIP, ainsi que les alias. Il est maintenant temps de passer à l'utilisation de pfBlockerNG pour le blocage des publicités. Le blocage des publicités dans pfBlockerNG est obtenu grâce au blackholing DNS. Cela référence vos requêtes DNS par rapport à une liste de réseaux publicitaires et de trackers connus et les bloque au niveau DNS chaque fois qu'il y a une correspondance, ce qui permet d'obtenir un Internet sans publicité.
Pour utiliser le DNSBL de pfBlockerNG, il est nécessaire d'utiliser le Résolveur DNS (Non lié) comme résolveur. Le compromis est que vous ne pouvez pas attribuer de serveurs DNS aux clients via DHCP ou utiliser le redirecteur DNS intégré de pfSense (dnsmasq).
Dans sa configuration par défaut, pfSense est configuré pour utiliser le résolveur DNS sur toutes les interfaces. En supposant que vous n’avez apporté aucune modification aux paramètres du résolveur DNS, vous êtes prêt à partir. Si, toutefois, vous avez ajusté les paramètres, il est important de vous assurer que le résolveur est configuré pour se lier au minimum à votre LAN (interface sortante) et WAN (interface entrante). Si vous êtes dans un multi-WAN ou multi-LAN (interfaces OPT), vous pouvez également les sélectionner si vous souhaitez filtrer leur trafic à l'aide du DNSBL de pfBlockerNG.
Configuration de DNSBL
Voici comment configurer DNSBL :
- Allez au DNSBL languette.
- Cochez le Activer DNSBL boîte.
- Du Mode DNSBL menu déroulant, sélectionnez Mode Python non lié .
- Trouvez le Configuration DNSBL section plus bas sur la page.
- Cochez le Activer boîte, à côté Autoriser les règles de pare-feu , puis sélectionnez les interfaces de type LAN que vous souhaitez que le DNSBL filtre. Cela crée automatiquement des règles de pare-feu flottantes, garantissant que le filtrage DNSBL se produira dès que le pare-feu verra le trafic.
- Cliquez sur Enregistrer les paramètres DNSBL .
Nous allons maintenant ajouter quelques flux DNSBL.
Ajout de flux DNSBL
- Allez au Flux languette.
- Plus bas sur la page, vous devriez voir Catégorie DNSBL sur la gauche. La première entrée est Liste facile .
- Cliquez sur le bleu + signe à côté du je . Ceci affiche le Groupes DNSBL page, qui répertorie vos flux, avec la plupart des champs pertinents renseignés automatiquement.
- Nous voulons seulement deux flux ici : Liste facile et Liste facile Confidentialité , alors supprimez le reste.
- Met le Liste facile et Liste facile Confidentialité se nourrit de SUR .
- Descendez au Paramètres section.
- Du Action menu déroulant, sélectionnez Non lié .
- Clique le + signer à côté Liste_personnalisée DNSBL pour évoquer le Liste_personnalisée DNSBL .
- Dans le Liste_personnalisée DNSBL fenêtre, entrez www.vungle.com . Ce domaine nous servira de domaine de test pour nous assurer que le DNSBL de pfBlockerNG fonctionne correctement.
- Cliquez sur Enregistrer les paramètres DNSBL .
Forcer une mise à jour de pfBlockerNG
Pour appliquer nos paramètres, nous devons forcer une mise à jour de pfBlockerNG.
- Accédez à l'onglet Mise à jour. Cela vous amène à la page de mise à jour de pfBlockerNG.
- Clique le Courir bouton pour démarrer la mise à jour.
Après une mise à jour réussie, nos flux ont été téléchargés et activés, et notre domaine de test est inclus dans la liste des domaines incriminés.
Test du DNSBL de pfBlockerNG
Pour nous assurer que le filtrage DNSBL fonctionne, nous essaierons de nous connecter au domaine auquel j'ai ajouté Liste_personnalisée DNSBL : www.vulgle.com. Si j'essaie d'accéder à vugle.com dans mon navigateur, la page de blocage DNSBL s'affiche avec quelques informations utiles.
Pour confirmer que DNSBL fonctionne correctement, nous tenterons de nous connecter au domaine personnalisé auquel j'ai ajouté. Liste_personnalisée DNSBL à l'étape précédente, qui est www.vungle.com .
Et on voit qu’il est bloqué.
Le DNSBL de pfBlocker est construit avec un mini serveur Web qui affiche la page ci-dessus pour les domaines bloqués. Cela s'applique uniquement au filtrage DNSBL. Les filtrages IPv4, IPv6 et GeoIP n'affichent pas de page de blocage.
Conclure
Si vous êtes arrivé jusqu'ici, vous avez installé et configuré pfBlockerNG-devel sur pfSense. Avec cette configuration, vous disposez d'un filtrage IPv4, d'un filtrage GeoIP et d'un filtrage DNSBL, ainsi que d'une sécurité et d'une confidentialité améliorées pour votre réseau sans compromettre votre vitesse de connexion.
Au fil du temps, il est probable que votre réseau grandisse à la fois en taille et en complexité, et vous souhaiterez peut-être ouvrir des ports spécifiques sur votre WAN pour des tâches telles que l'exécution d'un serveur de réseau privé virtuel (VPN) ou l'hébergement d'un serveur Web accessible depuis le serveur. l'Internet. Dans de tels cas, pfBlockerNG sera un atout précieux dans votre arsenal de sécurité, vous aidant à protéger votre réseau et à affiner les accès externes.