Guida per installare e configurare pfBlocker-NG, plug-in gratuito di pfSense, per bloccare l’accesso a siti web, domini e URL.
pfBlocker-NG permette la creazione di liste di siti per IP, nome dominio, numero AS, o black list permettendo di filtrare, bloccare o permettere l’accesso, ai siti elencati.

Software utilizzato

pfBlocker-NG

Hardware utilizzato

L’hardware utilizzato per i test era composto di 4GB RAM disco da 16GB e 4 Sk di rete 10/100/1000: Compact Small UTM ed e’ stato implementato anche con hardware di caratteristiche superiori:
Appliance Small UTM 2 + GSM 4G/LTE

Introduzione

Una volta create le liste, pfBlocker-NG, crea le regole sul firewall necessarie ad effettuare questi blocchi. Vedremo in questo esempio, blocchi solo per la navigazione (blocco del solo downloads).

Nota. L’efficacia di tale soluzione non e’ garantita su tutti i domini o siti. Bisogna pertanto valutarne l’effettiva utilita’ a seconda dei DOMINI o URL che si vogliono bloccare. Quindi consigliamo di effettuare dei test approfonditi prima di mettere in produzione definitiva, questa soluzione.

Installazione e configurazione

Per iniziare installare il software da System/Package Manager Available Packages

PFSense: Come Bloccare i Siti Web con pfBlocke-rNG

Per configurarlo accedere all’interfaccia grafica da Firewall/pfBlocker-NG,

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

Abilitare il servizio dal tab General, configurare come riportato qui sotto in figura

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

Salvare!

Ora configuriamo la parte di esclusione dei siti, dal tab ipv4; cliccare sul pulsante “+Add

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

In questa schermata sono state inserite liste nostre o gia’ esistenti raggiungibili tramite URL  (State auto)  e con nome o numero AS di un dominio  (State Whois).

Fondamentale compilare tutti i campi, il campo header serve per identificare la regola.

Compilare tutti gli altri campi come in figura.

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

Nel campo Custom Address potete inserire una lista aggiuntiva di siti da bloccare che verranno identificati sotto un unico header

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

Salvare!

Attenzione, alcuni domini sono particolarmente difficili da bloccare (i.e. facebook, ebay, ecc.). Per tali domini bisogna attivare anche il controllo DNDBL; vedere piu’ avanti nell’articolo: (Domini particolarmente difficili da bloccare)

Per rendere operative le regole bisogna effettuare un relaod e un update dal menu Update.
Selezionate prima reload poi run; quando finito selezionate update e quindi run

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

Configurazione avanzata.

Le regole possono essere limitate a gruppi di ip porte o alias secondo la sintassi delle regole del firewal pfsense.

Per esempio: in questa figura qui sotto blocco i siti selezionati (vedi Fig. F5) solo per gli indirizzi ip dll’alias “ettorePC” (posso mettere alias, ip, network, ecc…).

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

Abilitare il blocco tramite DNSBL.

Il blocco tramite DNSBL necessita di alcune accortezze in piu’, pertanto e’ bene configurarlo solo se non avete raggiunto il vostro scopo con la configurazione ipv4. Il DNSBL utilizzera’ il servizio dns per blocare i siti indesidrati, pertanto e’ necessario abilitare il servizio dns resolver di pfsense.

Abilitare dns resolver (il dns forwarder dovra’ essere disabilitato o in ascolto su una porta diversa da 53).

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

Salvare

Abilitare il servizio e configurarlo dal tab DNSBL come in figura (potete scegliere l’ip DNSBL virtuale che desiderate basta che non vada in conflitto con gli altri ip del firewall)

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

Questa e’ la configurazione generale dove decido i parametri di default.  Ricordarsi di Salvare

Configurare dal tab DNSBL feed

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

Qui configuro le blacklist o le white list e posso definire delle regole che mi permettono di decidere chi viene bloccato e chi no. Le liste in figura sono degli esempi. Ricordarsi di salvare.

Il campo DNSBL EasyList, permettono di bloccare parecchi link di advertising (ADS), qui sotto un semplice esempio di configurazione.

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

Ricordarsi di salvare e di eseguire un reload e quindi un update (dal menu firewall/pfBlockerNG/Update)

Domini particolarmente difficili da bloccare

Per alcuni domini il sistema descritto sopra potrebbe non essere sufficiente. Si puo’ rafforzare il sistema di blocco, abilitando il sistema TDL; che pero’ richiede piu’ risorse al vostro appliance.

Attivare il TDL spuntando il check box come in figura.

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

Inserire la vostra blacklist, un dominio per riga

pfSense: Come Bloccare i Siti Web con pfBlocker-NG

Come al solito salvare ed effettuare l’update!

Miniserver YouTube
Cluster Proxmox 3 nodi con Ceph
OpenVAS Vulnerability Assessment Scanner

Condividi questo articolo:


Articoli correlati