Guide

PFSense: Filtraggio domini e URL, blocco siti web con PFBlockerNG

Obbiettivo di questo articolo

Guida per installare e configurare PFBlockerNG, plug-in di PFSense, per gestire l’accesso a siti web, domini e URL.
PfblockerNg permette la creazione di liste di siti per IP, nome dominio, numero AS, o black list permettendo di filtrare, bloccare o permettere l’accesso, ai siti elencati.

Software utilizzato

PFBlockerNG su PFSense 2.4.X

 

Hardware utilizzato

L’hardware utilizzato per i test era composto di 4GB RAM disco da 16GB e 4 Sk di rete 10/100/1000:  https://www.firewallhardware.it/compact-small-utm/ ed e’ stato implementato anche con hardware di caratteristiche superiori: https://www.firewallhardware.it/small-utm2/

Introduzione

Una volta create le liste, pfblockerNg crea le regole sul firewall necessarie ad effettuare questi blocchi. Vedremo in questo esempio, blocchi solo per la navigazione (blocco del solo downloads).

Nota. L’efficacia di tale soluzione non e’ garantita su tutti i domini o siti. Bisogna pertanto valutarne l’effettiva utlita’ a seconda dei DOMINI o URL che si vogliono bloccare. Quindi consigliamo di effettuare dei test approfonditi prima di mettere in produzione definitiva, questa soluzione.

 

Installazione e configurazione

Per iniziare installare il software da System/Package Manager Available Packages

Per configurarlo accedere all’interfaccia grafica da Firewall/pfblockerNG

Abilitare il servizio dal tab General, configurare come riportato qui sotto in figura

Salvare!

Ora configuriamo la parte di esclusione dei siti, dal tab ipv4; cliccare sul pulsante “+Add

In questa schermata sono state inserite liste nostre o gia’ esistenti raggiungibili tramite URL  (State auto)  e con nome o numero AS di un dominio  (State Whois).

Fondamentale compilare tutti i campi, il campo header serve per identificare la regola.

Compilare tutti gli altri campi come in figura.

Nel campo Custom Address potete inserire una lista aggiuntiva di siti da bloccare che verranno identificati sotto un unico header

Salvare!

Attenzione, alcuni domini sono particolarmente difficili da bloccare (i.e. facebook, ebay, ecc.). Per tali domini bisogna attivare anche il controllo DNDBL; vedere piu’ avanti nell’articolo: (Domini particolarmente difficili da bloccare)

Per rendere operative le regole bisogna effettuare un relaod e un update dal menu Update.
Selezionate prima reload poi run; quando finito selezionate update e quindi run

Configurazione avanzata.

Le regole possono essere limitate a gruppi di ip porte o alias secondo la sintassi delle regole del firewal pfsense.

Per esempio: in questa figura qui sotto blocco i siti selezionati (vedi Fig. F5) solo per gli indirizzi ip dll’alias “ettorePC” (posso mettere alias, ip, network, ecc…).

Abilitare il blocco tramite DNSBL.

Il blocco tramite DNSBL necessita di alcune accortezze in piu’, pertanto e’ bene configurarlo solo se non avete raggiunto il vostro scopo con la configurazione ipv4. Il DNSBL utilizzera’ il servizio dns per blocare i siti indesidrati, pertanto e’ necessario abilitare il servizio dns resolver di pfsense.

Abilitare dns resolver (il dns forwarder dovra’ essere disabilitato o in ascolto su una porta diversa da 53).

Salvare

Abilitare il servizio e configurarlo dal tab DNSBL come in figura (potete scegliere l’ip DNSBL virtuale che desiderate basta che non vada in conflitto con gli altri ip del firewall)

Questa e’ la configurazione generale dove decido i parametri di default.  Ricordarsi di Salvare

Configurare dal tab DNSBL feed

Qui configuro le blacklist o le white list e posso definire delle regole che mi permettono di decidere chi viene bloccato e chi no. Le liste in figura sono degli esempi. Ricordarsi di salvare.

Il campo DNSBL EasyList, permettono di bloccare parecchi link di advertising (ADS), qui sotto un semplice esempio di configurazione.

Ricordarsi di salvare e di eseguire un reload e quindi un update (dal menu firewall/pfBlockerNG/Update)

Domini particolarmente difficili da bloccare

Per alcuni domini il sistema descritto sopra potrebbe non essere sufficiente. Si puo’ rafforzare il sistema di blocco, abilitando il sistema TDL; che pero’ richiede piu’ risorse al vostro appliance.

Attivare il TDL spuntando il check box come in figura.

Inserire la vostra blacklist, un dominio per riga

Come al solito salvare ed effettuare l’update!

  ti posso interessare anche