pfSense如何安裝和配置pfBlockerNg

這篇文章主要介紹“pfSense如何安裝和配置pfBlockerNg”，在日常操作中，相信很多人在pfSense如何安裝和配置pfBlockerNg問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”pfSense如何安裝和配置pfBlockerNg”的疑惑有所幫助！接下來，請跟著小編一起來學(xué)習(xí)吧！

pfBlockerNG是一個可以安裝在pfSense中的軟件包，可以將防火墻的功能擴(kuò)展到L2 / L3 / L4防火墻之上。由于***者和網(wǎng)絡(luò)犯罪分子的能力不斷提高，管理員必須不斷提高防火墻的防御能力。

pfBlockerNG為pfSense提供了允許/拒絕決策的能力，例如IP地址的地理位置、域名或特定網(wǎng)站的Alexa評級等。限制域名的功能非常有用，它允許管理員阻止嘗試連接到已知不良域名。

本教程將通過配置pfSense防火墻設(shè)備來使用pfBlockerNG軟件包，以及添加/配置pfBlockerNG域名阻止列表的示例。

基本要求

本教程的基本配置環(huán)境如下：

• 全新安裝的pfSense防火墻。

• 一個WAN和一個LAN接口。

• LAN的IP范圍：192.168.0.0/24。

實驗圖

下圖是本文將使用的pfSense環(huán)境。

pfSense 網(wǎng)絡(luò)拓?fù)?/p>

在pfsense中安裝pfBlockerNG

第一步是連接到pfSense防火墻的Web界面。 這個實驗室環(huán)境使用192.168.0.0/24網(wǎng)絡(luò)，防火墻網(wǎng)關(guān)地址為192.168.0.1。在瀏覽器地址欄輸入“https://192.168.0.1”，進(jìn)入pfSense登錄頁面。

pfSense 登陸窗口

登錄pfSense頁面后，點擊‘System（系統(tǒng)）’菜單，進(jìn)入‘Package Manager（軟件包管理）’。

pfSense 軟件包管理

單擊‘Available Packages（可用軟件包）’。

pfSense 可用軟件包

找到‘pfBlockerNG軟件包，單擊邊上的 ‘+’ 進(jìn)行安裝。并單擊“Confirm（確認(rèn)）”開始安裝。

安裝fBlockerNG

一旦確認(rèn)，pfSense將開始安裝pfBlockerNG。 這里注意不要離開安裝頁面， 等待安裝結(jié)束。

pfBlockerNG 安裝

安裝完成后，我們開始pfBlockerNG配置。pfBlockerNG配置后，DNS請求的網(wǎng)站將會由運行pfBlockerNG軟件的pfSense防火墻進(jìn)行篩分和攔截。 pfBlockerNG會將已知不良域名的更新列表映射到錯誤IP地址。

pfSense防火墻需要攔截DNS請求，以便過濾掉不良域名，并使用UnBound的本地DNS解析器。 這意味著LAN接口上的客戶端需要使用pfSense防火墻作為DNS解析器。

如果客戶端請求pfBlockerNG阻止列表中的域名，那么pfBlockerNG將返回該域名的一個虛擬IP地址。

pfBlockerNG 配置

第一步是在pfSense防火墻上啟用UnBound DNS解析器。 點擊“Services（服務(wù)）”下拉菜單，然后選擇“DNS Resolver（DNS解析器）”。

pfSense DNS 解析器

首先選中“Enable DNS resolver(啟用DNS解析器)”的復(fù)選框。

Listening port(偵聽端口)，選53。

Network Interfaces(網(wǎng)絡(luò)接口)，一般是LAN接口和Localhost。

Outgoing Network Interfaces(出口網(wǎng)絡(luò)接口) ，在此配置中選WAN。

啟用DNS解析器

選擇完成后，請單擊頁面底部的“Save（保存）”，然后點擊頁面頂部出現(xiàn)的“Apply Changes（應(yīng)用更改）”按鈕。

下一步是pfBlockerNG配置的第一步。 導(dǎo)航到“Firewall（防火墻）”菜單下的pfBlockerNG，然后單擊“pfBlockerNG”。

配置pfBlockerNG 

單擊“DNSBL（DNS阻止列表）”選項卡，開始設(shè)置DNS阻止列表，然后再激活pfBlockerNG。

設(shè)置NS 列表

選中“Enable DNSBL（啟用DNSBL）”復(fù)選框（以下以綠色突出顯示）。

在“DNSBL Virtual IP(虛擬IP)”中輸入虛擬的IP地址。這個地址不是正在使用的pfSense網(wǎng)絡(luò)上的有效IP。該IP將用于收集統(tǒng)計信息以及監(jiān)視被pfBlockerNG拒絕的域名。

啟用NSBL 

向下滾動頁面，進(jìn)行其他設(shè)置。

DNSBL Listening Interface(偵聽接口)，設(shè)置為“LAN”。

DNSBL IP Firewall Settings（防火墻設(shè)置）下的“List Action(列表動作)”， 這個設(shè)置決定當(dāng)DNSBLfeed 提供IP地址時應(yīng)該做什么。

pfBlockerNG規(guī)則可以設(shè)置為執(zhí)行任意數(shù)量的操作，一般情況下選擇“Deny Both(拒絕兩者)”， 這將阻止與DNSBL feed IP /域的入站和出站連接。

配置NSBL

選擇項目后，滾動到頁面底部，然后單擊“SAVE(保存)”按鈕。 

pfBlockerNG為管理員提供了單獨或一起配置的兩個選項。 這兩個選項是來自其他網(wǎng)頁或EasyLists的手動Feed。

要了解有關(guān)不同EasyLists（簡單列表）的更多信息，請訪問：https：//easylist.to/。

配置 pfBlockerNG EasyList（簡單列表）

我們首先討論并配置EasyLists，一般用戶有這些列表就已經(jīng)可以了，而且容易管理。

pfBlockerNG中的兩個EasyLists是“EasyList w/o Element Hiding”和“EasyPrivacy”。 要使用這些列表，請首先點擊頁面頂部的“DNSBL EasyList”。

配置 DNSBL EasyList

需要進(jìn)行以下設(shè)置:

• DNS Group Name（DNS組名） – 用戶自定義，不能使用特殊字符。

• Description（描述） – 輸入一個描述說明，供管理員參考。

• EasyList Feed – 選擇添加哪個列表（EasyList或EasyPrivacy）

• Header/Label – 用戶自定義，不能使用特殊字符。

配置EasyList 

下面的設(shè)置部分都是用戶的個人偏好，可以根據(jù)需要選擇多個。 “DNSBL - EasyList Settings”中比較重要的設(shè)置如下:

• Categories（分類） – 用戶選擇的列表種類，可以多選。

• List Action（列表動作） – 為了回應(yīng)DNS請求，這里請設(shè)置為“Unbound”

• Update Frequency （更新頻率）– 列表更新的頻率。

DNSBL EasyList 設(shè)置

當(dāng)EasyList設(shè)置完成，請單擊頁面底部的“Save(保存)”按鈕， 頁面將會重新加載后，然后再單擊“Update（更新）”選項卡。

在更新選項卡上，選中“Reload（重新加載）”選項，然后選中“ALL（所有）”選項， 來下載EasyList配置頁面上選擇的阻止列表。

以上這些，必須手動完成，否則只能在設(shè)定的更新頻率后自動下載列表。更改設(shè)置后（添加或刪除列表）確保運行這個步驟。

更新asyList 設(shè)置

注意查看下面的日志窗口是否有錯誤， 如果一切順利，防火墻的LAN端的客戶端機(jī)器通過pfSense防火墻應(yīng)該可以查詢已知的不良站點，并收到不良IP地址的信息。 注意，客戶端機(jī)器必須設(shè)置使用pfsense作為其解析器！

檢查Nslookup的錯誤 

請注意上面的nslookup，網(wǎng)址返回的結(jié)果是我們在pfBlockerNG配置的偽IP， 這是我們期望的結(jié)果。 這將導(dǎo)致對“100pour.com”網(wǎng)址的任何請求被指向虛擬IP地址10.0.0.1。

為pfSense配置DNSBL Feed

與AdBlock EasyLists相反，我們可以在pfBlockerNG中使用其他的DNS黑名單。 這些列表通常可以被拉入pfBlockerNG。 下面是這些可用資源的列表:

• https://forum.pfsense.org/index.php?topic=114499.0

• https://forum.pfsense.org/index.php?topic=102470.0

• https://forum.pfsense.org/index.php?topic=86212.0

 個人最喜愛的一些列表包括以下內(nèi)容:

• http://adaway.org/hosts.txt

• http://www.malwaredomainlist.com/hostslist/hosts.txt

• http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext

• https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist

• https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

下面我們來配置添加DNSBL Feed：

首先導(dǎo)航到‘Firewall’ -> ‘pfBlockerNG’ ->’DSNBL’。

在DNSBL配置頁面上，點擊“DNSBL Feeds”，然后單擊“Add(添加)”按鈕。

配置DNSBL Feeds

在這里允許向pfBlockerNG添加其他不良IP地址或DNS名稱列表。

配置DNS 不良列表

這里的一些重要設(shè)置如下:

• DNS Group Name（DNS組名） – 用戶自定義。

• Description （描述）– 便于管理使用。

• DNSBL Settings（DNS黑名單設(shè)置）

• State（狀態(tài)） – 運行狀態(tài)。

• Source（源） – DNS黑名單的鏈接/來源

• Header/Label – 用戶自定義，注意不能使用特殊字符。

• List Action（列表動作） –  設(shè)置為“nbound”。

• Update Frequency（更新頻率） – 設(shè)置列表多久更新一次。

  
  

設(shè)置完以后，點擊頁面底部的保存按鈕。 與pfBlockerNG的任何修改一樣，此次修改也將在下一個更新頻率到達(dá)時自動生效。也可以手動強(qiáng)制重新加載，方法是導(dǎo)航到“Update(更新)”選項卡，選中“Reload(重新加載)”選項，選中“All(全部)” 選項，點擊“Run(運行)”按鈕。

DNSBL Feeds 更新設(shè)置

查看下面的日志窗口是否有任何錯誤， 如果一切順利，可以從lan側(cè)的客戶端測試一個DNSBL配置中使用的一個域名進(jìn)行nslookup，以測試列表是否正常工作。

查看DNS查詢結(jié)果

從上面的輸出結(jié)果可以看出，pfSense正在將在pfBlockerNG中配置的虛擬IP地址作為黑名單域名的不良IP返回。

在日常的管理中，管理員可以通過添加更多列表或創(chuàng)建自定義域/ IP列表來繼續(xù)調(diào)整列表。pfBlockerNG會將這些受限域名重定向到一個假的IP地址。

到此，關(guān)于“pfSense如何安裝和配置pfBlockerNg”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識，請繼續(xù)關(guān)注億速云網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>