Sakinisha na Usanidi pfBlockerNg kwa Orodha Nyeusi ya DNS katika pfSense Firewall

Katika makala ya awali usakinishaji wa suluhisho la ngome la msingi la FreeBSD linalojulikana kama pfSense lilijadiliwa. pfSense, kama ilivyotajwa katika kifungu cha hapo awali, ni suluhisho la ngome yenye nguvu sana na inayoweza kunyumbulika ambayo inaweza kutumia kompyuta ya zamani ambayo inaweza kuwa imekaa bila kufanya mengi.

Nakala hii itazungumza juu ya kifurushi kizuri cha kuongeza kwa pfsense kinachoitwa pfBlockerNG.

pfBlockerNG ni kifurushi kinachoweza kusakinishwa katika pfSense ili kumpa msimamizi wa ngome uwezo wa kupanua uwezo wa ngome zaidi ya ngome ya kawaida ya L2/L3/L4.

Kadiri uwezo wa washambuliaji na wahalifu wa mtandao unavyoendelea kusonga mbele, ndivyo lazima ulinzi ambao umewekwa ili kuzuia juhudi zao. Kama ilivyo katika ulimwengu wa kompyuta, hakuna suluhisho moja linalorekebisha bidhaa zote huko nje.

pfBlockerNG huipa pfSense uwezo wa ngome kufanya kuruhusu/kukataa vipengee kulingana na maamuzi kama vile eneo la anwani ya IP, jina la kikoa la rasilimali, au ukadiriaji wa Alexa wa tovuti fulani.

Uwezo wa kuweka vizuizi kwa vipengee kama vile majina ya vikoa ni wa faida sana kwani huwaruhusu wasimamizi kuzuia majaribio ya mashine za ndani zinazojaribu kuunganishwa na vikoa vibaya vinavyojulikana ( kwa maneno mengine, vikoa ambavyo vinaweza kujulikana kuwa na programu hasidi, maudhui haramu au mengineyo. vipande vya data vya siri).

Mwongozo huu utapitia kusanidi kifaa cha ngome cha pfSense ili kutumia kifurushi cha pfBlockerNG na pia baadhi ya mifano ya kimsingi ya orodha za vikoa ambazo zinaweza kuongezwa/kusanidiwa kwenye zana ya pfBlockerNG.

Nakala hii itafanya mawazo kadhaa na itaunda kutoka kwa nakala ya usakinishaji wa awali kuhusu pfSense. Mawazo yatakuwa kama ifuatavyo:

  • pfSense tayari imesakinishwa na haina sheria zilizosanidiwa kwa sasa (safi slate).
  • Ngome ina WAN na mlango wa LAN pekee (bandari 2).
  • Mpango wa IP unaotumika kwa upande wa LAN ni 192.168.0.0/24.

Ikumbukwe kwamba pfBlockerNG inaweza kusanidiwa kwenye ngome ya pfSense ambayo tayari inaendeshwa/imesanidiwa. Sababu ya mawazo haya hapa ni kwa ajili ya akili timamu tu na kazi nyingi ambazo zitakamilishwa, bado zinaweza kufanywa kwenye kisanduku cha pfSense kisicho safi.

Picha hapa chini ni mchoro wa maabara ya mazingira ya pfSense ambayo itatumika katika nakala hii.

Sakinisha pfBlockerNG kwa pfSense

Maabara ikiwa tayari kuanza, ni wakati wa kuanza! Hatua ya kwanza ni kuunganisha kwenye kiolesura cha wavuti kwa pfSense firewall. Tena mazingira haya ya maabara yanatumia mtandao wa 192.168.0.0/24 na ngome inayofanya kazi kama lango lenye anwani ya 192.168.0.1. Kutumia kivinjari na kuelekea kwenye ‘https://192.168.0.1’ kutaonyesha ukurasa wa kuingia wa pfSense.

Baadhi ya vivinjari vinaweza kulalamika kuhusu cheti cha SSL, hii ni kawaida kwa kuwa cheti kimetiwa saini na ngome ya pfSense. Unaweza kukubali ujumbe wa onyo kwa usalama na ukipenda, cheti halali kilichotiwa saini na CA halali kinaweza kusakinishwa lakini hakiko nje ya upeo wa makala haya.

Baada ya kubofya ‘Advanced’ na kisha ‘Ongeza Isipokuwa…’, bofya ili kuthibitisha ubaguzi wa usalama. Ukurasa wa kuingia wa pfSense kisha utaonyesha na kuruhusu msimamizi kuingia kwenye kifaa cha ngome.

Mara tu umeingia kwenye ukurasa kuu wa pfSense, bofya kwenye menyu kunjuzi ya 'Mfumo' kisha uchague 'Kidhibiti cha Kifurushi'.

Kubofya kiungo hiki kutabadilika hadi dirisha la kidhibiti kifurushi. Ukurasa wa kwanza wa kupakia utakuwa vifurushi vyote vilivyosakinishwa kwa sasa na hautakuwa tupu (tena mwongozo huu unachukua usakinishaji safi wa pfSense). Bofya kwenye maandishi 'Vifurushi Vinavyopatikana' ili upewe orodha ya vifurushi vinavyoweza kusakinishwa kwa pfSense.

Mara tu ukurasa wa 'Vifurushi Vinavyopatikana' upakie, chapa 'pfblocker' kwenye kisanduku cha 'Neno la Utafutaji' na ubofye 'Tafuta'. Kipengee cha kwanza kinachorejeshwa kinapaswa kuwa pfBlockerNG. Tafuta kitufe cha ‘Sakinisha’ kilicho upande wa kulia wa maelezo ya pfBlockerNG na ubofye ‘+’ ili kusakinisha kifurushi.

Ukurasa utapakia upya na kuomba msimamizi athibitishe usakinishaji kwa kubofya ‘Thibitisha’.

Baada ya kuthibitishwa, pfSense itaanza kusakinisha pfBlockerNG. Usiondoke kwenye ukurasa wa kisakinishi! Subiri hadi ukurasa uonyeshe usakinishaji uliofanikiwa.

Mara usakinishaji utakapokamilika, usanidi wa pfBlockerNG unaweza kuanza. Kazi ya kwanza ambayo inahitaji kukamilishwa ingawa ni maelezo kadhaa juu ya kile kitakachotokea mara tu pfBlockerNG itasanidiwa vizuri.

Mara pfBlockerNG inaposanidiwa, maombi ya DNS ya tovuti yanapaswa kuzuiwa na ngome ya pfSense inayoendesha programu ya pfBlockerNG. pfBlockerNG basi itakuwa na orodha zilizosasishwa za vikoa vibaya vinavyojulikana ambavyo vimepangwa kwa anwani mbaya ya IP.

Ngome ya ulinzi ya pfSense inahitaji kuingilia maombi ya DNS ili kuweza kuchuja vikoa vibaya na itatumia kisuluhishi cha ndani cha DNS kinachojulikana kama UnBound. Hii inamaanisha kuwa wateja kwenye kiolesura cha LAN wanahitaji kutumia ngome ya pfSense kama kisuluhishi cha DNS.

Ikiwa mteja ataomba kikoa ambacho kiko kwenye orodha za blocker za pfBlockerNG, basi pfBlockerNG itarudisha anwani ya IP ya uwongo ya kikoa. Wacha tuanze mchakato!

Usanidi wa pfBlockerNG kwa pfSense

Hatua ya kwanza ni kuwezesha kisuluhishi cha UnBound DNS kwenye ngome ya pfSense. Ili kufanya hivyo, bofya kwenye menyu kunjuzi ya ‘Huduma’ kisha uchague ‘DNS Resolver’.

Wakati ukurasa unapakia upya, mipangilio ya jumla ya kisuluhishi cha DNS itasanidiwa. Chaguo hili la kwanza ambalo linahitaji kusanidiwa ni kisanduku tiki cha 'Wezesha Kisuluhishi cha DNS'.

Mipangilio inayofuata ni kuweka mlango wa kusikiliza wa DNS (kawaida bandari 53), kuweka miingiliano ya mtandao ambayo kisuluhishi cha DNS kinapaswa kusikiliza (katika usanidi huu, inapaswa kuwa lango la LAN na Localhost), na kisha kuweka lango la egress (lazima. kuwa WAN katika usanidi huu).

Mara baada ya uteuzi kufanywa, hakikisha ubofye 'Hifadhi' chini ya ukurasa na kisha ubofye kitufe cha 'Tekeleza Mabadiliko' kitakachoonekana juu ya ukurasa.

Hatua inayofuata ni hatua ya kwanza katika usanidi wa pfBlockerNG haswa. Nenda kwenye ukurasa wa usanidi wa pfBlockerNG chini ya menyu ya 'Firewall' kisha ubofye 'pfBlockerNG'.

Mara tu pfBlockerNG inapopakia, bofya kwenye kichupo cha 'DNSBL' kwanza ili kuanza kusanidi orodha za DNS kabla ya kuwezesha pfBlockerNG.

Ukurasa wa ‘DNSBL’ unapopakia, kutakuwa na seti mpya ya menyu chini ya menyu za pfBlockerNG (zilizoangaziwa kwenye kijani kibichi chini). Kipengee cha kwanza kinachohitaji kushughulikiwa ni kisanduku tiki cha ‘Wezesha DNSBL’ (kilichoangaziwa kwenye kijani kibichi hapa chini).

Kisanduku hiki cha kuteua kitahitaji kisuluhishi cha UnBound DNS kitumike kwenye kisanduku cha pfSense ili kukagua maombi ya dns kutoka kwa wateja wa LAN. Usijali UnBound ilisanidiwa mapema lakini kisanduku hiki kitahitaji kuangaliwa! Kipengee kingine kinachohitaji kujazwa kwenye skrini hii ni ‘DNSBL Virtual IP’.

IP hii inahitaji kuwa katika safu ya mtandao wa kibinafsi na si IP halali kwenye mtandao ambao pfSense inatumika. Kwa mfano, mtandao wa LAN kwenye 192.168.0.0/24 unaweza kutumia IP ya 10.0.0.1 kwa kuwa ni IP ya faragha na si sehemu ya mtandao wa LAN.

IP hii itatumika kukusanya takwimu na pia kufuatilia vikoa ambavyo vinakataliwa na pfBlockerNG.

Kuteleza chini ya ukurasa, kuna mipangilio michache zaidi inayofaa kutajwa. Ya kwanza ni 'DNSBL Listening Interface'. Kwa usanidi huu, na usanidi mwingi, mpangilio huu unapaswa kuwekwa kuwa 'LAN'.

Mpangilio mwingine ni 'Orodha ya Kitendo' chini ya 'DNSBL IP Firewall Settings'. Mpangilio huu huamua nini kifanyike wakati mpasho wa DNSBL unatoa anwani za IP.

Sheria za pfBlockerNG zinaweza kusanidiwa kufanya idadi yoyote ya vitendo lakini uwezekano mkubwa wa 'Kataa Zote mbili' litakuwa chaguo linalohitajika. Hii itazuia miunganisho ya ndani na nje kwa IP/kikoa kwenye mpasho wa DNSBL.

Mara tu vipengee vimechaguliwa, tembeza hadi chini ya ukurasa na ubofye kitufe cha 'Hifadhi'. Mara tu ukurasa unapopakia tena, ni wakati wa kusanidi Orodha za Kuzuia za DNS ambazo zinapaswa kutumika.

pfBlockerNG humpa msimamizi chaguo mbili ambazo zinaweza kusanidiwa kwa kujitegemea au kwa pamoja kulingana na matakwa ya msimamizi. Chaguo mbili ni milisho ya mikono kutoka kwa kurasa zingine za wavuti au EasyList.

Ili kusoma zaidi kuhusu EasyLists tofauti, tafadhali tembelea ukurasa wa nyumbani wa mradi: https://easylist.to/

Sanidi pfBlockerNG EasyList

Hebu tujadili na kusanidi EasyLists kwanza. Watumiaji wengi wa nyumbani watapata orodha hizi kuwa za kutosha na vile vile zenye mzigo mdogo wa kiutawala.

Orodha mbili za EasyList zinazopatikana katika pfBlockerNG ni 'EasyList w/o Element Hiding' na 'EasyPrivacy'. Ili kutumia mojawapo ya orodha hizi, bofya kwanza kwenye ‘DNSBL EasyList’ iliyo juu ya ukurasa.

Mara tu ukurasa utakapopakia tena, sehemu ya usanidi ya EasyList itapatikana. Mipangilio ifuatayo itahitaji kusanidiwa:

  • Jina la Kikundi cha DNS - Chaguo la Mtumiaji lakini hakuna herufi maalum
  • Maelezo - Chaguo la mtumiaji, vibambo maalum vinavyoruhusiwa
  • Jimbo la Milisho ya EasyList - Iwapo orodha iliyosanidiwa inatumika
  • Mlisho wa Orodha Rahisi - Orodha ipi ya kutumia (EasyList au EasyPrivacy) zote zinaweza kuongezwa
  • Kichwa/Lebo - Chaguo la mtumiaji lakini hakuna herufi maalum

Sehemu inayofuata inatumiwa kuamua ni sehemu gani za orodha zitazuiwa. Tena haya yote ni upendeleo wa mtumiaji na nyingi zinaweza kuchaguliwa ikiwa inataka. Mipangilio muhimu katika ‘DNSBL – EasyList Settings’ ni kama ifuatavyo:

  • Kategoria - Mapendeleo ya mtumiaji na anuwai yanaweza kuchaguliwa
  • Kitendo cha Kuorodhesha - Inahitaji kuwekwa kuwa 'Ondoa' ili kukagua maombi ya DNS
  • Marudio ya Usasishaji - Ni mara ngapi pfSense itasasisha orodha ya tovuti mbovu

Wakati mipangilio ya EasyList inaposanidiwa kulingana na mapendeleo ya mtumiaji, hakikisha kuwa unasogeza hadi chini ya ukurasa na ubofye kitufe cha 'Hifadhi'. Mara tu ukurasa unapopakia tena, sogeza hadi juu ya ukurasa na ubofye kichupo cha 'Sasisha'.

Mara tu kwenye kichupo cha sasisho, angalia kitufe cha redio cha 'Pakia Upya' na kisha angalia kitufe cha redio kwa 'Zote'. Hii itapitia mfululizo wa vipakuliwa vya wavuti ili kupata orodha za kuzuia zilizochaguliwa mapema kwenye ukurasa wa usanidi wa EasyList.

Hili lazima lifanyike wewe mwenyewe la sivyo orodha hazitapakuliwa hadi kazi ya cron iliyoratibiwa. Wakati wowote mabadiliko yanafanywa (orodha zimeongezwa au kuondolewa) hakikisha kuwa umetekeleza hatua hii.

Tazama kidirisha cha kumbukumbu hapa chini kwa makosa yoyote. Ikiwa kila kitu kilipangwa, mashine za mteja kwenye upande wa LAN wa ngome inapaswa kuwa na uwezo wa kuuliza ngome ya pfSense kwa tovuti mbaya zinazojulikana na kupokea anwani mbaya za ip kwa malipo. Tena mashine za mteja lazima ziwekwe kutumia kisanduku cha pfsense kama kisuluhishi chao cha DNS!

Taarifa katika nslookup hapo juu kwamba url inarudisha IP ya uwongo iliyosanidiwa mapema katika usanidi wa pfBlockerNG. Haya ndiyo matokeo yanayotarajiwa. Hii inaweza kusababisha ombi lolote kwa URL '100pour.com' kuelekezwa kwa anwani ya IP ya uwongo ya 10.0.0.1.

Sanidi Milisho ya DNSBL kwa pfSense

Tofauti na Orodha za AdBlock Easy, pia kuna uwezo wa kutumia Orodha Nyeusi za DNS ndani ya pfBlockerNG. Kuna mamia ya orodha ambazo hutumika kufuatilia amri na udhibiti wa programu hasidi, vidadisi, adware, nodi za tor, na kila aina ya orodha zingine muhimu.

Orodha hizi mara nyingi zinaweza kuvutwa kwenye pfBlockerNG na pia kutumika kama Orodha Nyeusi za DNS. Kuna rasilimali chache ambazo hutoa orodha muhimu:

  • https://forum.pfsense.org/index.php?topic=114499.0
  • https://forum.pfsense.org/index.php?topic=102470.0
  • https://forum.pfsense.org/index.php?topic=86212.0

Viungo hapo juu vinatoa nyuzi kwenye jukwaa la pfSense ambapo wanachama wamechapisha mkusanyiko mkubwa wa orodha wanayotumia. Baadhi ya orodha zinazopendwa na mwandishi ni pamoja na zifuatazo:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/mbichi

Tena kuna tani za orodha nyingine na mwandishi anahimiza sana kwamba watu binafsi watafute orodha zaidi/nyingine. Wacha tuendelee na kazi za usanidi ingawa.

Hatua ya kwanza ni kwenda kwenye menyu ya usanidi ya pfBlockerNG tena kupitia ‘Firewall’ -> ‘pfBlockerNG’ -> ‘DSNBL’.

Ukiwa kwenye ukurasa wa usanidi wa DNSBL tena, bofya kwenye maandishi ya ‘DNSBL Feeds’ kisha ubofye kitufe cha ‘Ongeza’ mara ukurasa utakapoonyeshwa upya.

Kitufe cha kuongeza kitamruhusu msimamizi kuongeza orodha zaidi za anwani mbovu za IP au majina ya DNS kwenye programu ya pfBlockerNG (vipengee viwili vilivyo tayari kwenye orodha ni vya mwandishi kutoka kwa majaribio). Kitufe cha kuongeza huleta msimamizi kwenye ukurasa ambapo orodha za DNSBL zinaweza kuongezwa kwenye ngome.

Mipangilio muhimu katika pato hili ni ifuatayo:

  • Jina la Kikundi cha DNS - Mtumiaji amechaguliwa
  • Maelezo - Inafaa kwa kuweka vikundi vilivyopangwa
  • Mipangilio ya DNSBL - Hizi ndizo orodha halisi
    • Jimbo - Kama chanzo hicho kinatumika au la na jinsi kinavyopatikana
    • Chanzo - Kiungo/chanzo cha Orodha Nyeusi ya DNS
    • Kichwa/Lebo - Chaguo la mtumiaji; hakuna wahusika maalum

    Mara tu mipangilio hii imewekwa, bofya kitufe cha kuhifadhi chini chini ya ukurasa. Kama ilivyo kwa mabadiliko yoyote kwa pfBlockerNG, mabadiliko yataanza kutumika kwa muda unaofuata ulioratibiwa wa cron au msimamizi anaweza kulazimisha upakiaji upya kwa kwenda kwenye kichupo cha 'Sasisha', bofya kitufe cha redio cha 'Pakia upya', kisha ubofye 'Yote' kitufe cha redio. Mara tu hizo zikichaguliwa, bofya kitufe cha 'Run'.

    Tazama kidirisha cha kumbukumbu hapa chini kwa makosa yoyote. Ikiwa kila kitu kilipangwa, jaribu kuwa orodha zinafanya kazi kwa kujaribu tu kufanya nslookup kutoka kwa mteja kwenye upande wa lan hadi moja ya vikoa vilivyoorodheshwa katika mojawapo ya faili za maandishi zinazotumiwa katika usanidi wa DNSBL.

    Kama inavyoonekana katika matokeo hapo juu, kifaa cha pfSense kinarudisha anwani pepe ya IP ambayo ilisanidiwa katika pfBlockerNG kama IP mbaya kwa vikoa vya orodha nyeusi.

    Katika hatua hii msimamizi anaweza kuendelea kupanga orodha kwa kuongeza orodha zaidi au kuunda orodha maalum za kikoa/IP. pfBlockerNG itaendelea kuelekeza upya vikoa hivi vilivyowekewa vikwazo kwa anwani ya IP bandia.

    Asante kwa kusoma nakala hii kuhusu pfBlockerNG. Tafadhali onyesha shukrani au usaidizi wako kwa programu ya pfSense na pia pfBlockerNG kwa kuchangia kwa vyovyote iwezekanavyo ili kuendeleza utayarishaji wa bidhaa hizi mbili nzuri. Kama kawaida tafadhali maoni hapa chini na mapendekezo yoyote au maswali!