pfSense如何安裝和配置pfBlockerNg

這篇文章主要介紹“pfSense如何安裝和配置pfBlockerNg”，在日常操作中，相信很多人在pfSense如何安裝和配置pfBlockerNg問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”pfSense如何安裝和配置pfBlockerNg”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

pfBlockerNG是一個可以安裝在pfSense中的軟件包，可以將防火墻的功能擴展到L2 / L3 / L4防火墻之上。由于***者和網絡犯罪分子的能力不斷提高，管理員必須不斷提高防火墻的防御能力。

pfBlockerNG為pfSense提供了允許/拒絕決策的能力，例如IP地址的地理位置、域名或特定網站的Alexa評級等。限制域名的功能非常有用，它允許管理員阻止嘗試連接到已知不良域名。

本教程將通過配置pfSense防火墻設備來使用pfBlockerNG軟件包，以及添加/配置pfBlockerNG域名阻止列表的示例。

基本要求

本教程的基本配置環境如下：

• 全新安裝的pfSense防火墻。

• 一個WAN和一個LAN接口。

• LAN的IP范圍：192.168.0.0/24。

實驗圖

下圖是本文將使用的pfSense環境。

pfSense 網絡拓撲

在pfsense中安裝pfBlockerNG

第一步是連接到pfSense防火墻的Web界面。 這個實驗室環境使用192.168.0.0/24網絡，防火墻網關地址為192.168.0.1。在瀏覽器地址欄輸入“https://192.168.0.1”，進入pfSense登錄頁面。

pfSense 登陸窗口

登錄pfSense頁面后，點擊‘System（系統）’菜單，進入‘Package Manager（軟件包管理）’。

pfSense 軟件包管理

單擊‘Available Packages（可用軟件包）’。

pfSense 可用軟件包

找到‘pfBlockerNG軟件包，單擊邊上的 ‘+’ 進行安裝。并單擊“Confirm（確認）”開始安裝。

安裝fBlockerNG

一旦確認，pfSense將開始安裝pfBlockerNG。 這里注意不要離開安裝頁面， 等待安裝結束。

pfBlockerNG 安裝

安裝完成后，我們開始pfBlockerNG配置。pfBlockerNG配置后，DNS請求的網站將會由運行pfBlockerNG軟件的pfSense防火墻進行篩分和攔截。 pfBlockerNG會將已知不良域名的更新列表映射到錯誤IP地址。

pfSense防火墻需要攔截DNS請求，以便過濾掉不良域名，并使用UnBound的本地DNS解析器。 這意味著LAN接口上的客戶端需要使用pfSense防火墻作為DNS解析器。

如果客戶端請求pfBlockerNG阻止列表中的域名，那么pfBlockerNG將返回該域名的一個虛擬IP地址。

pfBlockerNG 配置

第一步是在pfSense防火墻上啟用UnBound DNS解析器。 點擊“Services（服務）”下拉菜單，然后選擇“DNS Resolver（DNS解析器）”。

pfSense DNS 解析器

首先選中“Enable DNS resolver(啟用DNS解析器)”的復選框。

Listening port(偵聽端口)，選53。

Network Interfaces(網絡接口)，一般是LAN接口和Localhost。

Outgoing Network Interfaces(出口網絡接口) ，在此配置中選WAN。

啟用DNS解析器

選擇完成后，請單擊頁面底部的“Save（保存）”，然后點擊頁面頂部出現的“Apply Changes（應用更改）”按鈕。

下一步是pfBlockerNG配置的第一步。 導航到“Firewall（防火墻）”菜單下的pfBlockerNG，然后單擊“pfBlockerNG”。

配置pfBlockerNG 

單擊“DNSBL（DNS阻止列表）”選項卡，開始設置DNS阻止列表，然后再激活pfBlockerNG。

設置NS 列表

選中“Enable DNSBL（啟用DNSBL）”復選框（以下以綠色突出顯示）。

在“DNSBL Virtual IP(虛擬IP)”中輸入虛擬的IP地址。這個地址不是正在使用的pfSense網絡上的有效IP。該IP將用于收集統計信息以及監視被pfBlockerNG拒絕的域名。

啟用NSBL 

向下滾動頁面，進行其他設置。

DNSBL Listening Interface(偵聽接口)，設置為“LAN”。

DNSBL IP Firewall Settings（防火墻設置）下的“List Action(列表動作)”， 這個設置決定當DNSBLfeed 提供IP地址時應該做什么。

pfBlockerNG規則可以設置為執行任意數量的操作，一般情況下選擇“Deny Both(拒絕兩者)”， 這將阻止與DNSBL feed IP /域的入站和出站連接。

配置NSBL

選擇項目后，滾動到頁面底部，然后單擊“SAVE(保存)”按鈕。 

pfBlockerNG為管理員提供了單獨或一起配置的兩個選項。 這兩個選項是來自其他網頁或EasyLists的手動Feed。

要了解有關不同EasyLists（簡單列表）的更多信息，請訪問：https：//easylist.to/。

配置 pfBlockerNG EasyList（簡單列表）

我們首先討論并配置EasyLists，一般用戶有這些列表就已經可以了，而且容易管理。

pfBlockerNG中的兩個EasyLists是“EasyList w/o Element Hiding”和“EasyPrivacy”。 要使用這些列表，請首先點擊頁面頂部的“DNSBL EasyList”。

配置 DNSBL EasyList

需要進行以下設置:

• DNS Group Name（DNS組名） – 用戶自定義，不能使用特殊字符。

• Description（描述） – 輸入一個描述說明，供管理員參考。

• EasyList Feed – 選擇添加哪個列表（EasyList或EasyPrivacy）

• Header/Label – 用戶自定義，不能使用特殊字符。

配置EasyList 

下面的設置部分都是用戶的個人偏好，可以根據需要選擇多個。 “DNSBL - EasyList Settings”中比較重要的設置如下:

• Categories（分類） – 用戶選擇的列表種類，可以多選。

• List Action（列表動作） – 為了回應DNS請求，這里請設置為“Unbound”

• Update Frequency （更新頻率）– 列表更新的頻率。

DNSBL EasyList 設置

當EasyList設置完成，請單擊頁面底部的“Save(保存)”按鈕， 頁面將會重新加載后，然后再單擊“Update（更新）”選項卡。

在更新選項卡上，選中“Reload（重新加載）”選項，然后選中“ALL（所有）”選項， 來下載EasyList配置頁面上選擇的阻止列表。

以上這些，必須手動完成，否則只能在設定的更新頻率后自動下載列表。更改設置后（添加或刪除列表）確保運行這個步驟。

更新asyList 設置

注意查看下面的日志窗口是否有錯誤， 如果一切順利，防火墻的LAN端的客戶端機器通過pfSense防火墻應該可以查詢已知的不良站點，并收到不良IP地址的信息。 注意，客戶端機器必須設置使用pfsense作為其解析器！

檢查Nslookup的錯誤 

請注意上面的nslookup，網址返回的結果是我們在pfBlockerNG配置的偽IP， 這是我們期望的結果。 這將導致對“100pour.com”網址的任何請求被指向虛擬IP地址10.0.0.1。

為pfSense配置DNSBL Feed

與AdBlock EasyLists相反，我們可以在pfBlockerNG中使用其他的DNS黑名單。 這些列表通常可以被拉入pfBlockerNG。 下面是這些可用資源的列表:

• https://forum.pfsense.org/index.php?topic=114499.0

• https://forum.pfsense.org/index.php?topic=102470.0

• https://forum.pfsense.org/index.php?topic=86212.0

 個人最喜愛的一些列表包括以下內容:

• http://adaway.org/hosts.txt

• http://www.malwaredomainlist.com/hostslist/hosts.txt

• http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext

• https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist

• https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

下面我們來配置添加DNSBL Feed：

首先導航到‘Firewall’ -> ‘pfBlockerNG’ ->’DSNBL’。

在DNSBL配置頁面上，點擊“DNSBL Feeds”，然后單擊“Add(添加)”按鈕。

配置DNSBL Feeds

在這里允許向pfBlockerNG添加其他不良IP地址或DNS名稱列表。

配置DNS 不良列表

這里的一些重要設置如下:

• DNS Group Name（DNS組名） – 用戶自定義。

• Description （描述）– 便于管理使用。

• DNSBL Settings（DNS黑名單設置）

• State（狀態） – 運行狀態。

• Source（源） – DNS黑名單的鏈接/來源

• Header/Label – 用戶自定義，注意不能使用特殊字符。

• List Action（列表動作） –  設置為“nbound”。

• Update Frequency（更新頻率） – 設置列表多久更新一次。

  
  

設置完以后，點擊頁面底部的保存按鈕。 與pfBlockerNG的任何修改一樣，此次修改也將在下一個更新頻率到達時自動生效。也可以手動強制重新加載，方法是導航到“Update(更新)”選項卡，選中“Reload(重新加載)”選項，選中“All(全部)” 選項，點擊“Run(運行)”按鈕。

DNSBL Feeds 更新設置

查看下面的日志窗口是否有任何錯誤， 如果一切順利，可以從lan側的客戶端測試一個DNSBL配置中使用的一個域名進行nslookup，以測試列表是否正常工作。

查看DNS查詢結果

從上面的輸出結果可以看出，pfSense正在將在pfBlockerNG中配置的虛擬IP地址作為黑名單域名的不良IP返回。

在日常的管理中，管理員可以通過添加更多列表或創建自定義域/ IP列表來繼續調整列表。pfBlockerNG會將這些受限域名重定向到一個假的IP地址。

到此，關于“pfSense如何安裝和配置pfBlockerNg”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注億速云網站，小編會繼續努力為大家帶來更多實用的文章！