Guida per installare e configurare pfBlocker-NG, plug-in gratuito di pfSense, per bloccare l’accesso a siti web, domini e URL.
pfBlocker-NG permette la creazione di liste di siti per IP, nome dominio, numero AS, o black list permettendo di filtrare, bloccare o permettere l’accesso, ai siti elencati.
Software utilizzato
Hardware utilizzato
L’hardware utilizzato per i test era composto di 4GB RAM disco da 16GB e 4 Sk di rete 10/100/1000: Compact Small UTM ed e’ stato implementato anche con hardware di caratteristiche superiori:
Appliance Small UTM 2 + GSM 4G/LTE
Introduzione
Una volta create le liste, pfBlocker-NG, crea le regole sul firewall necessarie ad effettuare questi blocchi. Vedremo in questo esempio, blocchi solo per la navigazione (blocco del solo downloads).
Nota. L’efficacia di tale soluzione non e’ garantita su tutti i domini o siti. Bisogna pertanto valutarne l’effettiva utilita’ a seconda dei DOMINI o URL che si vogliono bloccare. Quindi consigliamo di effettuare dei test approfonditi prima di mettere in produzione definitiva, questa soluzione.
Installazione e configurazione
Per iniziare installare il software da System/Package Manager Available Packages
Per configurarlo accedere all’interfaccia grafica da Firewall/pfBlocker-NG,
Abilitare il servizio dal tab General, configurare come riportato qui sotto in figura
Salvare!
Ora configuriamo la parte di esclusione dei siti, dal tab ipv4; cliccare sul pulsante “+Add”
In questa schermata sono state inserite liste nostre o gia’ esistenti raggiungibili tramite URL (State auto) e con nome o numero AS di un dominio (State Whois).
Fondamentale compilare tutti i campi, il campo header serve per identificare la regola.
Compilare tutti gli altri campi come in figura.
Nel campo Custom Address potete inserire una lista aggiuntiva di siti da bloccare che verranno identificati sotto un unico header
Salvare!
Attenzione, alcuni domini sono particolarmente difficili da bloccare (i.e. facebook, ebay, ecc.). Per tali domini bisogna attivare anche il controllo DNDBL; vedere piu’ avanti nell’articolo: (Domini particolarmente difficili da bloccare)
Per rendere operative le regole bisogna effettuare un relaod e un update dal menu Update.
Selezionate prima reload poi run; quando finito selezionate update e quindi run
Configurazione avanzata.
Le regole possono essere limitate a gruppi di ip porte o alias secondo la sintassi delle regole del firewal pfsense.
Per esempio: in questa figura qui sotto blocco i siti selezionati (vedi Fig. F5) solo per gli indirizzi ip dll’alias “ettorePC” (posso mettere alias, ip, network, ecc…).
Abilitare il blocco tramite DNSBL.
Il blocco tramite DNSBL necessita di alcune accortezze in piu’, pertanto e’ bene configurarlo solo se non avete raggiunto il vostro scopo con la configurazione ipv4. Il DNSBL utilizzera’ il servizio dns per blocare i siti indesidrati, pertanto e’ necessario abilitare il servizio dns resolver di pfsense.
Abilitare dns resolver (il dns forwarder dovra’ essere disabilitato o in ascolto su una porta diversa da 53).
Salvare
Abilitare il servizio e configurarlo dal tab DNSBL come in figura (potete scegliere l’ip DNSBL virtuale che desiderate basta che non vada in conflitto con gli altri ip del firewall)
Questa e’ la configurazione generale dove decido i parametri di default. Ricordarsi di Salvare
Configurare dal tab DNSBL feed
Qui configuro le blacklist o le white list e posso definire delle regole che mi permettono di decidere chi viene bloccato e chi no. Le liste in figura sono degli esempi. Ricordarsi di salvare.
Il campo DNSBL EasyList, permettono di bloccare parecchi link di advertising (ADS), qui sotto un semplice esempio di configurazione.
Ricordarsi di salvare e di eseguire un reload e quindi un update (dal menu firewall/pfBlockerNG/Update)
Domini particolarmente difficili da bloccare
Per alcuni domini il sistema descritto sopra potrebbe non essere sufficiente. Si puo’ rafforzare il sistema di blocco, abilitando il sistema TDL; che pero’ richiede piu’ risorse al vostro appliance.
Attivare il TDL spuntando il check box come in figura.
Inserire la vostra blacklist, un dominio per riga
Come al solito salvare ed effettuare l’update!
