Filtro web PfSense con pfBlockerNG – Filtrar anuncios y sitios web maliciosos

filtro web pfsense con pfblockerng

Si visita un sitio web promedio hoy, se cargan innumerables scripts y rastreadores. Esto permite que los operadores del sitio web, Google, Facebook, etc. puedan recopilar datos sobre usted y rastrearlo a través de la inmensidad de Internet. Afortunadamente, no tienes que rendirte a este ajetreo y hay muchas extensiones útiles, por ejemplo, para el navegador ( uBlock Origin , uMatrix , etc.). Estas soluciones tienen el inconveniente de que hay que instalarlas en cada dispositivo y para cada navegador por separado. Por lo tanto, me gustaría describir cómo se puede construir un pfSense filtro web con pfBlockerNG a la publicidad de filtro, los contenidos no deseados y sitios web maliciosos en toda la red. Esto es útil en una red doméstica o escolar, por ejemplo.

Instalar pfBlockerNG

Primero iniciamos sesión en pfSense y abrimos el Administrador de paquetes. Allí seleccionamos pfBlockerNG-devel en "Paquetes disponibles":

filtro web pfsense con pfblockerng

Con “Instalar” podemos instalar el paquete. PfSense descargará el paquete pfBlockerNG y lo agregará al firewall.

instalación de pfblockerng finalizada

pfBlockerNG Configuración inicial

A continuación configuraremos pfBlockerNG. Para ello vamos a Firewall → pfBlockerNG .

pfsense webfilter con pfblockerng

Un asistente nos da la bienvenida que nos ayudará a configurar pfBlockerNG. Con “Siguiente” continuamos.

pfsense webfilter con pfblockerng

La siguiente página explica qué cosas se están configurando ahora:

  • Se establece una configuración estándar para principiantes con pfBlockerNG.
  • Si ha instalado pfBlockerNG antes, se eliminarán todas las configuraciones.
  • Se instalarán dos componentes:
    • IP: reglas de firewall para la interfaz WAN para bloquear a los peores atacantes conocidos.
    • DNSBL: se bloquean la publicidad y otros dominios maliciosos conocidos.

Continúe con "Siguiente".

pfsense webfilter con pfblockerng

En el siguiente paso tenemos que seleccionar la interfaz entrante (WAN) y la interfaz saliente (LAN). Si tiene más de una interfaz interna, puede seleccionar todas aquellas para las que desea configurar pfBlockerNG. Por ejemplo, si desea filtrar la WLAN invitada, pero no la WLAN para los profesores, puede seleccionar o anular la selección de las interfaces adecuadas aquí.

interfaces pfBlockerNG

A continuación, tenemos que definir una dirección VIP. En esta dirección se está ejecutando el servidor web de pfBlockerNG y bajo ninguna circunstancia debe ser una IP de una red que usted utilice. Por ejemplo, si la red LAN es 192.168.1.1/24, la dirección VIP no debe estar en este rango. Aquí en nuestro ejemplo dejamos la dirección en 10.10.10.1. Por lo general, no es necesario cambiar los puertos.

pfBlockerNG Dirección VIP

La configuración ahora está completa y podemos finalizar el asistente haciendo clic en "Finalizar".

Fin de configuración de pfBlockerNG

Después de eso, se abre la página de actualización de pfBlockerNG y todas las listas de bloqueo activadas se descargan y activan automáticamente.

¡Ahora tiene un filtro web pfSense básico con pfblockerNG en ejecución!

Configuración de pfBlockerNG

Ahora tenemos una configuración pfBlockerNG lista para usar que bloquea anuncios no deseados y dominios y sitios web maliciosos. pfBlockerNG es una herramienta muy poderosa y flexible. Por lo tanto, me gustaría resaltar algunas configuraciones.

Importante: Para que la configuración modificada tenga efecto (no importa si es DNSBL o IP), tenemos que ejecutar Actualizar → Recargar → Todo → Ejecutar para descargar y activar las listas (cambiadas).
actualización de pfblockerng

IP

En la pestaña IP , recomiendo las siguientes configuraciones:

  • Reglas flotantes → Habilitar . Si solo tiene una interfaz interna, puede dejarla deshabilitada. Si tiene muchas interfaces (por ejemplo, en la red de una escuela), tiene sentido activar este elemento para mantener más claras las reglas del firewall.
  • Matar estados → Activar . Cuando pfBlockerNG actualiza las listas de bloqueo, se restablecen todas las conexiones activas a las direcciones IP en las listas.

pfsense webfilter con pfblockerng

Bloqueo GeoIP

Si desea bloquear el acceso desde ciertas regiones del mundo, primero debe crear una cuenta gratuita en MaxMind. A continuación, recibe una clave de licencia, que puede ingresar en IP → Configuración de MaxMind GeoIP . Después de eso, debe descargar las bases de datos GeoIP en Actualizar → Recargar → IP.

pfblocker geoip

Ahora podemos seleccionar los continentes deseados o los principales spammers en IP → GeoIP . Para hacer esto, hacemos clic en el lápiz pequeño de la derecha y luego seleccionamos todas las entradas de la lista. En la parte inferior seleccionamos “Denegar ambos” (Acción de lista).

pfblockerng Top Spammer

Nota sobre “Denegar entrantes” y “Denegar salientes”: “Denegar entrantes” significa que las direcciones IP están bloqueadas para todas las conexiones entrantes. Por ejemplo, si ejecuta un servidor web y desea bloquear ciertos países, puede hacerlo con "Denegar entrada". "Denegar salida" se aplica a todas las conexiones salientes, es decir, no puedo conectarme a esta IP desde una computadora en la red. ¡Tienes que tener cuidado aquí! Por ejemplo, si bloqueo todas las direcciones IP de América del Norte con "Denegar salida", a partir de ahora no podré acceder a los sitios web alojados en este continente.

DNSBL / Feeds

pfBlockerNG bloquea tanto los dominios como las IP. Por lo tanto, no hay un ataque de intermediario para filtrar el contenido, simplemente busca en una lista larga para ver si un dominio está permitido o no (funciona también con HTTPS). En Feeds, podemos establecer qué listas deben usarse activamente. Hay fuentes para listas de bloqueo de IP así como para DNSBL: listas de bloqueo para DNS o dominios.

Todos los feeds activados tienen una marca al final de la línea. Si ahora queremos agregar un feed que aún no está activo, simplemente hacemos clic en el “+”:

pfblockerng Agregar feed

Se abrirá una página donde podemos ingresar detalles sobre el feed. Los siguientes campos son importantes:

  • Estado: ON
  • Acción: Sin consolidar
  • Frecuencia de actualización: una vez al día

Detalles del feed de pfblockerng

A veces desea agregar una fuente que no está en la lista (por ejemplo, fuentes individuales de Steven Black ). Para ello vamos a DNSBL → Grupos DNSBL y hacemos clic en “ Agregar ” en la parte inferior:

pfblockerng Agregar feed

En la página siguiente le damos un nombre al grupo DNSBL y agregamos definiciones de origen DNSBL a nuestro (s) feed (s).

  • Nombre: StevenBlack
  • Estado: ON
  • Fuente: https://raw.githubusercontent.com/StevenBlack/hosts/master/alternates/gambling/hosts
  • Encabezado / Etiqueta: Juegos de apuestas
  • Acción: Sin consolidar
  • Frecuencia de actualización: una vez al día

Con “Guardar” finalizamos el proceso.

pfblockerng Feed personalizado

Listas blancas

Si desea que no se bloquee un dominio, debe agregarlo a la lista blanca en DNSBL → Lista blanca DNSBL . Si coloca un punto (".") Delante del nombre de dominio, todos los subdominios se incluirán en la lista blanca; de lo contrario, solo el (sub) dominio que ingresó no se bloqueará.

lista blanca pfblockerng DNSBL

Búsqueda segura

En DNSBL → DNSBL SafeSearch puede configurar SafeSearch para los motores de búsqueda más populares. También puede bloquear DNS a través de HTTPS desde Firefox y establecer restricciones para YouTube.

pfblockerng DNSBL SafeSearch

Forzar pfSense como servidor DNS

Para asegurarnos de que todas las solicitudes en nuestra red también sean filtradas por pfBlockerNG, tenemos que evitar que alguien en la red use un servidor DNS diferente al servidor DNS de pfSense. Para ello, creamos 2 reglas para la interfaz LAN ( más detalles aquí ):

regla pfsense DNS

Pruebas

Si queremos abrir un sitio web, que está en las listas de bloqueo de DNS, veremos este sitio pfBlockerNG:

filtro web pfsens con pfblockerng

Filtro web pfSense con pfBlockerNG – Conclusión

pfBlockerNG es un gran proyecto de código abierto . Ayuda a filtrar publicidad, contenido no deseado o malicioso y rangos de IP completos. No importa si son listas de bloqueo de IP o DNS: con pfBlockerNG puede administrar ambos y configurarlos de la manera que desee para su red. Pero también existen alternativas para pfBlockerNG, por ejemplo, pi-hole , que se puede instalar en una Raspberry Pi o en una VM o contenedor. ¡La conclusión es que una red sin publicidad es posible!

¿Utiliza pfBlockerNG o pi-hole en su red (escolar)?

La publicación PfSense Web Filter With pfBlockerNG – Filtrar anuncios y sitios web maliciosos apareció primero en Open School Solutions .

Deixe uma resposta