Inhalt
- Paket installieren
- Aufbau
- Top Spammer
- Aufbau
- Einzelne Länder blockieren
- Blocklisten hinzufügen
- Hinzufügen einer benutzerdefinierten Liste
- Nützliche IP-Sperrlisten
- Benutzerdefinierte Listen verwalten
- Speicherauslastung
- Überprüfen des Status von pfBlocker
- Fehlerbehebung
Sam arbeitet als Netzwerkanalyst für eine algorithmische Handelsfirma. Er erhielt seinen Bachelor-Abschluss in Informationstechnologie von UMKC.
PfBlocker ist ein Paket für pfSense Version 2.x, mit dem Sie einer pfSense-Firewall oder einem pfSense-Router IP-Sperrlisten- und Länderblockfunktionen hinzufügen können. PfBlocker wurde erstellt, um die Funktionen der Pakete IP Blocklist und Country Block zu ersetzen.
Ich würde dieses Paket als ein Muss für jeden betrachten, der einen E-Mail-Server in seinem Netzwerk betreibt. Mit diesem Paket können Sie schnell die Top 10 Länder blockieren, aus denen Spam stammt.
Mit PfBocker können Sie auch benutzerdefinierte Sperrlisten konfigurieren, um den Datenverkehr zu oder von den von Ihnen angegebenen IP-Adressen oder Netzwerken zu blockieren.
Im Web sind mehrere kostenlose Sperrlisten verfügbar, die auf bekannte schädliche IP-Bereiche, Botnet-IP-Adressen, gefährdete IPs und mehr abzielen.
Paket installieren
Um das Paket zu installieren, öffnen Sie den pfSense-Paketmanager, indem Sie im Systemmenü auf "Pakete" klicken. Suchen Sie das Paket in der Liste und klicken Sie auf das Pluszeichen auf der rechten Seite, um die Installation zu starten.
PfBlocker ist nur für pfSense Version 2.x verfügbar. Wenn Sie also Ihre pfSense-Installation nicht aktualisiert haben, müssen Sie dies tun, bevor Sie dieses Paket verwenden können.
Nach Abschluss der Installation haben Sie einen neuen Menüpunkt im Firewall-Menü für das Paket.
Aufbau
Die erste Registerkarte der Konfigurationsseite enthält die allgemeinen Paketeinstellungen. Um den Blocker einzuschalten, müssen Sie das Kontrollkästchen 'Aktivieren Sie pfBlocker'; Andernfalls werden keine Firewall-Regeln erstellt.
Ich möchte auch die Protokollierungsfunktion aktivieren. Es ist viel einfacher, Probleme zu beheben, die auftreten können, wenn die Protokolle aktiviert sind.
Sie müssen auch die eingehenden und ausgehenden Schnittstellen und die zugehörigen Aktionen konfigurieren. Nachfolgend finden Sie Erläuterungen zu den einzelnen Einstellungen.
- Eingehende Schnittstelle (n) - Wenn Sie den eingehenden Datenverkehr in Ihrem Netzwerk blockieren möchten, sollten Sie in diesem Abschnitt Ihre WAN-Schnittstelle auswählen.
- Eingehende Verweigerungsaktion - Ich empfehle, die Standardaktion "Blockieren" beizubehalten. Blockierter Datenverkehr wird von der Firewall stillschweigend gelöscht, und die Quelle wird nicht mit einem Rücksetzpaket oder einer nicht erreichbaren ICMP-Nachricht benachrichtigt.
- Ausgehende Schnittstelle (n) - Wenn Sie ausgehenden Datenverkehr aus Ihrem Netzwerk blockieren möchten, wählen Sie hier die LAN-Schnittstelle aus. Diese Funktion ist nützlich, wenn Sie verhindern möchten, dass die Benutzer in Ihrem Netzwerk eine Verbindung zu IP-Adressen in den Sperrlisten herstellen.
- Ausgehende Verweigerungsaktion - Auch hier ist die Standardaktion normalerweise geeignet. Durch Ablehnen wird die Quell-IP entweder mit einem RET-Paket (Reset) oder einer nicht erreichbaren ICMP-Nachricht für UDP-Verkehr benachrichtigt. Eine Ablehnung ist für LAN-Hosts nützlich, da sie Anwendungen und Benutzern eine Vorstellung davon geben kann, was mit ihrem Datenverkehr geschieht.
Wenn Sie mit den allgemeinen Einstellungen fertig sind, klicken Sie auf speichern Taste.
Top Spammer
Auf der Registerkarte "Top-Spammer" können Sie schnell eines der Top-10-Länder blockieren, aus denen Spam stammt.
Wenn Sie einen Mailserver in Ihrem Netzwerk hosten, können Sie mit dieser Funktion auf einfache Weise die Menge an Spam reduzieren, die in Ihr Netzwerk gelangt.
Aufbau
- Wählen Sie auf der Konfigurationsseite die Registerkarte "Top Spammer".
- Wählen Sie die zu blockierenden Länder aus der Liste aus. Sie können mehrere Länder auswählen, indem Sie STRG + Klick verwenden.
- Setzen Sie die Aktion auf "Eingehend verweigern", um eingehende Verbindungen aus den ausgewählten Ländern zu verhindern.
- Klicken Sie auf "Speichern", um die Einstellungen zu übernehmen.
Einzelne Länder blockieren
Das Paket ist mit Subnetzlisten für viele verschiedene Länder vorinstalliert. Sie können einzelne zu blockierende Länder auswählen, indem Sie in pfBlocker auf die Registerkarten des Kontinents klicken.
Nach Auswahl einer Kontinentseite können Sie ein oder mehrere zu blockierende Länder auswählen. Um mehrere Länder auszuwählen, halten Sie die Steuertaste gedrückt, während Sie Ihre Auswahl treffen.
Die Standardaktion ist "Deaktiviert", wodurch die Länder nicht blockiert werden. Sie müssen entweder "Eingehend verweigern" oder "Ausgehend verweigern" auswählen, um den Datenverkehr tatsächlich zu blockieren.
Sie können ein Land auf die Whitelist setzen, indem Sie die Aktion in eine der Genehmigungsfunktionen ändern.
Blocklisten hinzufügen
Eine der großartigen Funktionen dieses Pakets ist, dass Sie Ihre eigenen IP-Listen hinzufügen können. Mit der Listenfunktion können Sie eine URL für eine öffentliche Sperrliste angeben, die vom Paket automatisch heruntergeladen und aktualisiert werden kann.
PfBlocker unterstützt Listen im Text- oder GZIP-Format.
Mit der benutzerdefinierten Listenfunktion können Sie eine Liste von IPs oder Netzwerken im CIDR-Format angeben, die einer Sperrliste hinzugefügt werden sollen.
Hinzufügen einer benutzerdefinierten Liste
- Klicken Sie auf die Registerkarte "Listen".
- Geben Sie einen Aliasnamen und eine optionale Beschreibung für die benutzerdefinierte Liste ein.
- Geben Sie eine URL oder eine lokale Datei mit Netzwerkadressen im CIDR-Format ein. (Wählen Sie entweder das txt- oder das gzip-Format). Sie können einzelne Netzwerke im benutzerdefinierten Listenfeld unten hinzufügen.
- Stellen Sie die Listenaktion so ein, dass eingehende oder ausgehende Nachrichten verweigert werden. Durch Auswahl der Berechtigung wird der Datenverkehr zu diesen IPs auf die Whitelist gesetzt.
- Wählen Sie eine Aktualisierungshäufigkeit, wenn pfBlocker die Liste automatisch aktualisieren soll.
- Klicken Sie auf Speichern, um die benutzerdefinierte Liste hinzuzufügen.
Nützliche IP-Sperrlisten
| Blockliste | Beschreibung | URL |
|---|---|---|
SpamHaus.org DROP-Liste | Diese Liste enthält Netzwerke, von denen bekannt ist, dass sie von professionellen Spammern betrieben werden. | http://www.spamhaus.org/drop/drop.lasso |
DShield Die aktivsten Angreifer | IPs der aktivsten Angreifer im Web. Täglich aktualisiert. | http://feeds.dshield.org/top10-2.txt |
Zues IP-Blockliste | IPs werden derzeit vom Zues Tracker verfolgt. (Befehls- und Kontrollserver) | https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist |
Benutzerdefinierte Listen verwalten
Nachdem die benutzerdefinierte Liste der Liste gespeichert wurde, wird sie auf der Registerkarte Listen angezeigt. Wenn Sie mehrere benutzerdefinierte Listen hinzufügen möchten, müssen Sie einen beschreibenden Namen festlegen, damit Sie diese verfolgen können.
Um Änderungen an der benutzerdefinierten Liste vorzunehmen, klicken Sie auf die Schaltfläche Bearbeiten auf der rechten Seite. Klicken Sie auf das X-Symbol, um den Listeneintrag zu entfernen.
Speicherauslastung
Es ist auch wichtig zu beachten, dass jede aktivierte Blockliste System-RAM verbraucht. Wenn Ihre pfSense-Box nicht über genügend Speicher verfügt, kann dies zu Leistungseinbußen führen.
Sie können die Speichernutzung mithilfe des Widgets für das Systeminformations-Dashboard überwachen. Wenn Sie feststellen, dass Sie mehr als 75% des Speichers nutzen, sollten Sie erwägen, dem System mehr RAM hinzuzufügen.
Überprüfen des Status von pfBlocker
Der einfachste Weg, um sicherzustellen, dass pfBlocker funktioniert, ist die Verwendung des Dashboard-Widgets.
Das pfBlocker-Dashboard-Widget listet die Anzahl der CIDR-Bereiche auf, die für jeden Alias geladen werden, die Anzahl der von jeder Liste blockierten Pakete und den Status (aktiviert / deaktiviert) jeder Liste.
Fehlerbehebung
Wenn pfBlocker keinen Datenverkehr zu blockieren scheint, können Sie einige Dinge überprüfen, die Ihre Probleme beheben können. Weitere Unterstützung finden Sie in den pfSense-Foren.
- Stellen Sie sicher, dass pfBlocker aktiviert ist auf der Seite mit den allgemeinen Einstellungen. Wenn es nicht aktiviert ist, werden keine Firewall-Regeln erstellt.
- Überprüfen Sie die Schnittstellenauswahl in den allgemeinen Einstellungen.
- Überprüfen Sie die Systemprotokolle (Stellen Sie sicher, dass die Protokollierung zuerst aktiviert ist.) PfBlocker-Protokolleinträge werden in den Hauptsystemprotokollen angezeigt. Die Systemprotokolle finden Sie im Statusmenü der Web-GUI. Filtern Sie die Protokolle nach 'pfblocker', um nur Einträge für dieses Paket anzuzeigen.
- Stellen Sie sicher, dass die Regeln tatsächlich erstellt wurden. Wenn pfBlocker aktiviert ist und Listen ausgewählt sind, werden Einträge entweder auf der Registerkarte WAN oder LAN der Seite mit den Firewall-Regeln angezeigt. Sie werden oben auf der Seite angezeigt.
Da pfSense eine zustandsbehaftete Firewall ist, wird eine neue Regel nicht auf vorhandene Zustände angewendet.
Dies bedeutet, dass eine Regel zum Blockieren des Datenverkehrs den vorhandenen Datenverkehr erst dann beeinflusst, wenn der Status gelöscht wird. Sie können die Zustände manuell löschen, indem Sie pfSense neu starten oder auf der Seite "Zustände" (Diagnose Zustände Zustände zurücksetzen).
Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.
