Si visita un sitio web promedio hoy, se cargan innumerables scripts y rastreadores. Esto permite que los operadores del sitio web, Google, Facebook, etc. puedan recopilar datos sobre usted y rastrearlo a través de la inmensidad de Internet. Afortunadamente, no tienes que rendirte a este ajetreo y hay muchas extensiones útiles, por ejemplo, para el navegador ( uBlock Origin , uMatrix , etc.). Estas soluciones tienen el inconveniente de que hay que instalarlas en cada dispositivo y para cada navegador por separado. Por lo tanto, me gustaría describir cómo se puede construir un pfSense filtro web con pfBlockerNG a la publicidad de filtro, los contenidos no deseados y sitios web maliciosos en toda la red. Esto es útil en una red doméstica o escolar, por ejemplo.
Instalar pfBlockerNG
Primero iniciamos sesión en pfSense y abrimos el Administrador de paquetes. Allí seleccionamos pfBlockerNG-devel en "Paquetes disponibles":
Con “Instalar” podemos instalar el paquete. PfSense descargará el paquete pfBlockerNG y lo agregará al firewall.
pfBlockerNG Configuración inicial
A continuación configuraremos pfBlockerNG. Para ello vamos a Firewall → pfBlockerNG .
Un asistente nos da la bienvenida que nos ayudará a configurar pfBlockerNG. Con “Siguiente” continuamos.
La siguiente página explica qué cosas se están configurando ahora:
- Se establece una configuración estándar para principiantes con pfBlockerNG.
- Si ha instalado pfBlockerNG antes, se eliminarán todas las configuraciones.
- Se instalarán dos componentes:
- IP: reglas de firewall para la interfaz WAN para bloquear a los peores atacantes conocidos.
- DNSBL: se bloquean la publicidad y otros dominios maliciosos conocidos.
Continúe con "Siguiente".
En el siguiente paso tenemos que seleccionar la interfaz entrante (WAN) y la interfaz saliente (LAN). Si tiene más de una interfaz interna, puede seleccionar todas aquellas para las que desea configurar pfBlockerNG. Por ejemplo, si desea filtrar la WLAN invitada, pero no la WLAN para los profesores, puede seleccionar o anular la selección de las interfaces adecuadas aquí.
A continuación, tenemos que definir una dirección VIP. En esta dirección se está ejecutando el servidor web de pfBlockerNG y bajo ninguna circunstancia debe ser una IP de una red que usted utilice. Por ejemplo, si la red LAN es 192.168.1.1/24, la dirección VIP no debe estar en este rango. Aquí en nuestro ejemplo dejamos la dirección en 10.10.10.1. Por lo general, no es necesario cambiar los puertos.
La configuración ahora está completa y podemos finalizar el asistente haciendo clic en "Finalizar".
Después de eso, se abre la página de actualización de pfBlockerNG y todas las listas de bloqueo activadas se descargan y activan automáticamente.
¡Ahora tiene un filtro web pfSense básico con pfblockerNG en ejecución!
Configuración de pfBlockerNG
Ahora tenemos una configuración pfBlockerNG lista para usar que bloquea anuncios no deseados y dominios y sitios web maliciosos. pfBlockerNG es una herramienta muy poderosa y flexible. Por lo tanto, me gustaría resaltar algunas configuraciones.
Importante: Para que la configuración modificada tenga efecto (no importa si es DNSBL o IP), tenemos que ejecutar Actualizar → Recargar → Todo → Ejecutar para descargar y activar las listas (cambiadas).
IP
En la pestaña IP , recomiendo las siguientes configuraciones:
- Reglas flotantes → Habilitar . Si solo tiene una interfaz interna, puede dejarla deshabilitada. Si tiene muchas interfaces (por ejemplo, en la red de una escuela), tiene sentido activar este elemento para mantener más claras las reglas del firewall.
- Matar estados → Activar . Cuando pfBlockerNG actualiza las listas de bloqueo, se restablecen todas las conexiones activas a las direcciones IP en las listas.
Bloqueo GeoIP
Si desea bloquear el acceso desde ciertas regiones del mundo, primero debe crear una cuenta gratuita en MaxMind. A continuación, recibe una clave de licencia, que puede ingresar en IP → Configuración de MaxMind GeoIP . Después de eso, debe descargar las bases de datos GeoIP en Actualizar → Recargar → IP.
Ahora podemos seleccionar los continentes deseados o los principales spammers en IP → GeoIP . Para hacer esto, hacemos clic en el lápiz pequeño de la derecha y luego seleccionamos todas las entradas de la lista. En la parte inferior seleccionamos “Denegar ambos” (Acción de lista).
Nota sobre “Denegar entrantes” y “Denegar salientes”: “Denegar entrantes” significa que las direcciones IP están bloqueadas para todas las conexiones entrantes. Por ejemplo, si ejecuta un servidor web y desea bloquear ciertos países, puede hacerlo con "Denegar entrada". "Denegar salida" se aplica a todas las conexiones salientes, es decir, no puedo conectarme a esta IP desde una computadora en la red. ¡Tienes que tener cuidado aquí! Por ejemplo, si bloqueo todas las direcciones IP de América del Norte con "Denegar salida", a partir de ahora no podré acceder a los sitios web alojados en este continente.
DNSBL / Feeds
pfBlockerNG bloquea tanto los dominios como las IP. Por lo tanto, no hay un ataque de intermediario para filtrar el contenido, simplemente busca en una lista larga para ver si un dominio está permitido o no (funciona también con HTTPS). En Feeds, podemos establecer qué listas deben usarse activamente. Hay fuentes para listas de bloqueo de IP así como para DNSBL: listas de bloqueo para DNS o dominios.
Todos los feeds activados tienen una marca al final de la línea. Si ahora queremos agregar un feed que aún no está activo, simplemente hacemos clic en el “+”:
Se abrirá una página donde podemos ingresar detalles sobre el feed. Los siguientes campos son importantes:
- Estado: ON
- Acción: Sin consolidar
- Frecuencia de actualización: una vez al día
A veces desea agregar una fuente que no está en la lista (por ejemplo, fuentes individuales de Steven Black ). Para ello vamos a DNSBL → Grupos DNSBL y hacemos clic en “ Agregar ” en la parte inferior:
En la página siguiente le damos un nombre al grupo DNSBL y agregamos definiciones de origen DNSBL a nuestro (s) feed (s).
- Nombre: StevenBlack
- Estado: ON
- Fuente: https://raw.githubusercontent.com/StevenBlack/hosts/master/alternates/gambling/hosts
- Encabezado / Etiqueta: Juegos de apuestas
- Acción: Sin consolidar
- Frecuencia de actualización: una vez al día
Con “Guardar” finalizamos el proceso.
Listas blancas
Si desea que no se bloquee un dominio, debe agregarlo a la lista blanca en DNSBL → Lista blanca DNSBL . Si coloca un punto (".") Delante del nombre de dominio, todos los subdominios se incluirán en la lista blanca; de lo contrario, solo el (sub) dominio que ingresó no se bloqueará.
Búsqueda segura
En DNSBL → DNSBL SafeSearch puede configurar SafeSearch para los motores de búsqueda más populares. También puede bloquear DNS a través de HTTPS desde Firefox y establecer restricciones para YouTube.
Forzar pfSense como servidor DNS
Para asegurarnos de que todas las solicitudes en nuestra red también sean filtradas por pfBlockerNG, tenemos que evitar que alguien en la red use un servidor DNS diferente al servidor DNS de pfSense. Para ello, creamos 2 reglas para la interfaz LAN ( más detalles aquí ):
Pruebas
Si queremos abrir un sitio web, que está en las listas de bloqueo de DNS, veremos este sitio pfBlockerNG:
Filtro web pfSense con pfBlockerNG – Conclusión
pfBlockerNG es un gran proyecto de código abierto . Ayuda a filtrar publicidad, contenido no deseado o malicioso y rangos de IP completos. No importa si son listas de bloqueo de IP o DNS: con pfBlockerNG puede administrar ambos y configurarlos de la manera que desee para su red. Pero también existen alternativas para pfBlockerNG, por ejemplo, pi-hole , que se puede instalar en una Raspberry Pi o en una VM o contenedor. ¡La conclusión es que una red sin publicidad es posible!
¿Utiliza pfBlockerNG o pi-hole en su red (escolar)?
La publicación PfSense Web Filter With pfBlockerNG – Filtrar anuncios y sitios web maliciosos apareció primero en Open School Solutions .