ติดตั้งและกำหนดค่า pfBlockerNg สำหรับ DNS Black Listing ในไฟร์วอลล์ pfSense

เมื่อการติดตั้งเสร็จสมบูรณ์ การกำหนดค่า pfBlockerNG ก็สามารถเริ่มต้นได้ งานแรกที่ต้องทำคือคำอธิบายบางอย่างเกี่ยวกับสิ่งที่จะเกิดขึ้นเมื่อ pfBlockerNG ได้รับการกำหนดค่าอย่างถูกต้อง

เมื่อกำหนดค่า pfBlockerNG แล้ว คำขอ DNS สำหรับเว็บไซต์ควรถูกสกัดกั้นโดยไฟร์วอลล์ pfSense ที่รันซอฟต์แวร์ pfBlockerNG pfBlockerNG จะมีการอัปเดตรายการโดเมนที่รู้จักที่ไม่ถูกต้องซึ่งแมปกับที่อยู่ IP ที่ไม่ถูกต้อง

ไฟร์วอลล์ pfSense จำเป็นต้องสกัดกั้นคำขอ DNS เพื่อให้สามารถกรองโดเมนที่ไม่ถูกต้องออกได้ และจะใช้ตัวแก้ไข DNS ในเครื่องที่เรียกว่า UnBound ซึ่งหมายความว่าไคลเอนต์บนอินเทอร์เฟซ LAN จำเป็นต้องใช้ไฟร์วอลล์ pfSense เป็นตัวแก้ไข DNS

หากไคลเอนต์ร้องขอโดเมนที่อยู่ในรายการบล็อกของ pfBlockerNG pfBlockerNG จะส่งคืนที่อยู่ IP เท็จสำหรับโดเมน มาเริ่มกระบวนการกันเถอะ!

การกำหนดค่า pfBlockerNG สำหรับ pfSense

ขั้นตอนแรกคือการเปิดใช้งานตัวแก้ไข UnBound DNS บนไฟร์วอลล์ pfSense ในการดำเนินการนี้ ให้คลิกที่เมนูแบบเลื่อนลง 'บริการ' จากนั้นเลือก 'DNS Resolver'

เมื่อโหลดหน้าใหม่ การตั้งค่าทั่วไปของตัวแก้ไข DNS จะสามารถกำหนดค่าได้ ตัวเลือกแรกที่ต้องกำหนดค่าคือช่องทำเครื่องหมาย "เปิดใช้งานตัวแก้ไข DNS"

การตั้งค่าถัดไปคือการตั้งค่าพอร์ตการฟัง DNS (โดยปกติคือพอร์ต 53) การตั้งค่าอินเทอร์เฟซเครือข่ายที่ตัวแก้ไข DNS ควรรับฟัง (ในการกำหนดค่านี้ ควรเป็นพอร์ต LAN และ Localhost) จากนั้นตั้งค่าพอร์ตขาออก (ควร เป็น WAN ในการกำหนดค่านี้)

เมื่อทำการเลือกแล้ว อย่าลืมคลิก 'บันทึก' ที่ด้านล่างของหน้า จากนั้นคลิกปุ่ม 'ใช้การเปลี่ยนแปลง' ที่จะปรากฏที่ด้านบนของ หน้า.

The next step is the first step in configuration of pfBlockerNG specifically. ไปที่หน้าการกำหนดค่า pfBlockerNG ใต้เมนู 'ไฟร์วอลล์' จากนั้นคลิกที่ 'pfBlockerNG'

เมื่อโหลด pfBlockerNG แล้ว ให้คลิกที่แท็บ "DNSBL" ก่อนเพื่อเริ่มตั้งค่ารายการ DNS ก่อนที่จะเปิดใช้งาน pfBlockerNG

เมื่อหน้า 'DNSBL' โหลดขึ้น จะมีชุดเมนูใหม่อยู่ใต้เมนู pfBlockerNG (เน้นด้วยสีเขียวด้านล่าง) รายการแรกที่ต้องแก้ไขคือช่องทำเครื่องหมาย "เปิดใช้งาน DNSBL" (เน้นด้วยสีเขียวด้านล่าง)

กล่องกาเครื่องหมายนี้จะต้องใช้รีโซลเวอร์ UnBound DNS บนกล่อง pfSense เพื่อตรวจสอบคำขอ DNS จากไคลเอ็นต์ LAN ไม่ต้องกังวลว่า UnBound ได้รับการกำหนดค่าไว้ก่อนหน้านี้ แต่จะต้องทำเครื่องหมายในช่องนี้! รายการอื่นๆ ที่ต้องกรอกในหน้าจอนี้คือ "DNSBL Virtual IP"

IP นี้ต้องอยู่ในช่วงเครือข่ายส่วนตัวและไม่ใช่ IP ที่ถูกต้องบนเครือข่ายที่ใช้ pfSense ตัวอย่างเช่น เครือข่าย LAN บน 192.168.0.0/24 สามารถใช้ IP 10.0.0.1 ได้ เนื่องจากเป็น IP ส่วนตัวและไม่ได้เป็นส่วนหนึ่งของเครือข่าย LAN

IP นี้จะใช้เพื่อรวบรวมสถิติรวมถึงตรวจสอบโดเมนที่ถูกปฏิเสธโดย pfBlockerNG

เมื่อเลื่อนหน้าลง มีการตั้งค่าเพิ่มเติมอีกสองสามอย่างที่ควรค่าแก่การกล่าวถึง อย่างแรกคือ 'อินเทอร์เฟซการฟัง DNSBL' สำหรับการตั้งค่านี้และการตั้งค่าส่วนใหญ่ การตั้งค่านี้ควรตั้งค่าเป็น 'LAN'

การตั้งค่าอื่นคือ 'การดำเนินการรายการ' ใต้ 'การตั้งค่าไฟร์วอลล์ IP DNSBL' การตั้งค่านี้จะกำหนดสิ่งที่จะเกิดขึ้นเมื่อฟีด DNSBL ให้ที่อยู่ IP

คุณสามารถตั้งค่ากฎ pfBlockerNG ให้ดำเนินการจำนวนเท่าใดก็ได้ แต่ส่วนใหญ่แล้ว 'ปฏิเสธทั้งสอง' จะเป็นตัวเลือกที่ต้องการ วิธีนี้จะป้องกันการเชื่อมต่อขาเข้าและขาออกไปยัง IP/โดเมนบนฟีด DNSBL

เมื่อเลือกรายการแล้ว ให้เลื่อนไปที่ด้านล่างของหน้าแล้วคลิกปุ่ม "บันทึก" เมื่อโหลดหน้าใหม่แล้วก็ถึงเวลากำหนดค่ารายการบล็อก DNS ที่ควรใช้

pfBlockerNG มอบตัวเลือกสองทางให้กับผู้ดูแลระบบซึ่งสามารถกำหนดค่าแยกกันหรือรวมกันได้ ขึ้นอยู่กับความต้องการของผู้ดูแลระบบ ทั้งสองตัวเลือกคือฟีดด้วยตนเองจากหน้าเว็บอื่นหรือ EasyLists

หากต้องการอ่านเพิ่มเติมเกี่ยวกับ EasyLists ต่างๆ โปรดไปที่หน้าแรกของโครงการ: https://easylist.to/

กำหนดค่า pfBlockerNG EasyList

มาพูดคุยและกำหนดค่า EasyLists ก่อน ผู้ใช้ตามบ้านส่วนใหญ่จะพบว่ารายการเหล่านี้เพียงพอและเป็นภาระในการจัดการน้อยที่สุด

EasyList สองรายการที่มีอยู่ใน pfBlockerNG คือ 'EasyList ที่ไม่มีองค์ประกอบซ่อนอยู่' และ 'EasyPrivacy' หากต้องการใช้รายการใดรายการหนึ่งเหล่านี้ ขั้นแรกให้คลิกที่ 'DNSBL EasyList' ที่ด้านบนของหน้า

เมื่อโหลดหน้าใหม่แล้ว ส่วนการกำหนดค่า EasyList จะพร้อมใช้งาน จะต้องกำหนดค่าการตั้งค่าต่อไปนี้:

• ชื่อกลุ่ม DNS – ตัวเลือกของผู้ใช้ แต่ไม่มีอักขระพิเศษ
• คำอธิบาย – ตัวเลือกของผู้ใช้ อนุญาตให้ใช้อักขระพิเศษได้
• สถานะฟีด EasyList – ไม่ว่าจะใช้รายการที่กำหนดค่าไว้หรือไม่
• EasyList Feed – สามารถเพิ่มรายการใดที่จะใช้ (EasyList หรือ EasyPrivacy) ได้
• ส่วนหัว/ป้ายกำกับ – ผู้ใช้เลือกได้แต่ไม่มีอักขระพิเศษ

ส่วนถัดไปใช้เพื่อกำหนดว่าส่วนใดของรายการจะถูกบล็อก นี่เป็นการตั้งค่าของผู้ใช้ทั้งหมดและสามารถเลือกได้หลายรายการหากต้องการ การตั้งค่าที่สำคัญใน 'DNSBL – การตั้งค่า EasyList' มีดังนี้:

• หมวดหมู่ – สามารถเลือกการตั้งค่าของผู้ใช้และหลายรายการได้
• การดำเนินการกับรายการ – ต้องตั้งค่าเป็น 'ไม่ถูกผูกไว้' เพื่อตรวจสอบคำขอ DNS
• ความถี่ในการอัปเดต – pfSense จะอัปเดตรายการไซต์ที่ไม่ดีบ่อยแค่ไหน

เมื่อกำหนดค่า EasyList ตามความต้องการของผู้ใช้แล้ว อย่าลืมเลื่อนไปที่ด้านล่างของหน้าและคลิกปุ่ม 'บันทึก' เมื่อโหลดหน้าซ้ำแล้ว ให้เลื่อนไปที่ด้านบนของหน้าแล้วคลิกแท็บ "อัปเดต"

เมื่ออยู่บนแท็บอัปเดต ให้ตรวจสอบปุ่มตัวเลือกสำหรับ 'โหลดซ้ำ' จากนั้นตรวจสอบปุ่มตัวเลือกสำหรับ 'ทั้งหมด' ซึ่งจะดำเนินการผ่านชุดการดาวน์โหลดทางเว็บเพื่อรับรายการบล็อกที่เลือกไว้ในหน้าการกำหนดค่า EasyList ก่อนหน้านี้

ต้องทำด้วยตนเอง มิฉะนั้นรายการจะไม่ถูกดาวน์โหลดจนกว่าจะถึงงาน cron ที่กำหนดเวลาไว้ ทุกครั้งที่มีการเปลี่ยนแปลง (เพิ่มหรือลบรายการ) โปรดดำเนินการตามขั้นตอนนี้

ดูหน้าต่างบันทึกด้านล่างเพื่อดูข้อผิดพลาด หากทุกอย่างเป็นไปตามแผนที่วางไว้ เครื่องไคลเอ็นต์บนฝั่ง LAN ของไฟร์วอลล์ควรจะสามารถสืบค้นไฟร์วอลล์ pfSense เพื่อหาไซต์ที่รู้จักที่ไม่ดี และได้รับที่อยู่ IP ที่ไม่ดีเป็นการตอบแทน ต้องตั้งค่าเครื่องไคลเอนต์อีกครั้งให้ใช้กล่อง pfsense เป็นตัวแก้ไข DNS!

โปรดสังเกตใน nslookup ด้านบนว่า url ส่งคืน IP เท็จที่กำหนดค่าไว้ก่อนหน้านี้ในการกำหนดค่า pfBlockerNG นี่คือผลลัพธ์ที่ต้องการ ซึ่งจะส่งผลให้คำขอใด ๆ ไปยัง URL '100pour.com' ถูกส่งไปยังที่อยู่ IP เท็จ 10.0.0.1

กำหนดค่าฟีด DNSBL สำหรับ pfSense

ตรงกันข้ามกับ AdBlock EasyLists ยังมีความสามารถในการใช้ DNS Black List อื่นๆ ภายใน pfBlockerNG อีกด้วย มีหลายร้อยรายการที่ใช้ในการติดตามคำสั่งและการควบคุมมัลแวร์ สปายแวร์ แอดแวร์ โหนดทอร์ และรายการที่มีประโยชน์อื่นๆ ทุกประเภท

รายการเหล่านี้มักจะถูกดึงเข้าไปใน pfBlockerNG และยังใช้เป็น DNS Black Lists เพิ่มเติมได้อีกด้วย มีแหล่งข้อมูลค่อนข้างน้อยที่แสดงรายการที่เป็นประโยชน์:

• https://forum.pfsense.org/index.php?topic=114499.0
• https://forum.pfsense.org/index.php?topic=102470.0
• https://forum.pfsense.org/index.php?topic=86212.0

ลิงก์ด้านบนมีกระทู้ในฟอรัมของ pfSense ซึ่งสมาชิกได้โพสต์คอลเลกชันจำนวนมากของรายการที่พวกเขาใช้ รายการโปรดของผู้เขียนบางส่วนมีดังต่อไปนี้:

• http://adaway.org/hosts.txt
• http://www.malwaredomainlist.com/hostslist/hosts.txt
• http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
• https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
• https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

ยังมีรายการอื่นๆ อีกหลายรายการ และผู้เขียนขอสนับสนุนอย่างยิ่งให้บุคคลต่างๆ ค้นหารายการเพิ่มเติม/อื่นๆ มาทำงานกำหนดค่าต่อกันดีกว่า

ขั้นตอนแรกคือไปที่เมนูการกำหนดค่าของ pfBlockerNG อีกครั้งผ่าน 'ไฟร์วอลล์' -> 'pfBlockerNG' -> 'DSNBL'.

เมื่ออยู่ในหน้าการกำหนดค่า DNSBL อีกครั้ง ให้คลิกที่ข้อความ 'DNSBL Feeds' จากนั้นคลิกที่ปุ่ม 'เพิ่ม' เมื่อรีเฟรชหน้า

ปุ่มเพิ่มจะช่วยให้ผู้ดูแลระบบสามารถเพิ่มรายการที่อยู่ IP หรือชื่อ DNS ที่ไม่ถูกต้องลงในซอฟต์แวร์ pfBlockerNG ได้ (ทั้งสองรายการที่อยู่ในรายการนั้นเป็นของผู้เขียนจากการทดสอบ) ปุ่มเพิ่มจะนำผู้ดูแลระบบไปยังหน้าที่สามารถเพิ่มรายการ DNSBL ลงในไฟร์วอลล์ได้

การตั้งค่าที่สำคัญในเอาต์พุตนี้มีดังต่อไปนี้:

• ชื่อกลุ่ม DNS – ผู้ใช้เลือก
• คำอธิบาย – มีประโยชน์ในการจัดระเบียบกลุ่ม
• การตั้งค่า DNSBL – นี่คือรายการจริง
• สถานะ – ไม่ว่าจะใช้แหล่งข้อมูลนั้นหรือไม่ และได้มาอย่างไร
• แหล่งที่มา – ลิงก์/แหล่งที่มาของ DNS Black List
• ส่วนหัว/ป้ายกำกับ – ตัวเลือกของผู้ใช้; ไม่มีอักขระพิเศษ
• การทำงานของรายการ – ตั้งค่าเป็น Unbound
• ความถี่ในการอัปเดต – ความถี่ที่ควรอัปเดตรายการ

เมื่อตั้งค่าเหล่านี้แล้ว ให้คลิกปุ่ม บันทึก ที่ด้านล่างของหน้า เช่นเดียวกับการเปลี่ยนแปลงใดๆ ใน pfBlockerNG การเปลี่ยนแปลงจะมีผลในช่วงเวลา cron ที่กำหนดเวลาไว้ถัดไป หรือผู้ดูแลระบบสามารถบังคับให้โหลดซ้ำด้วยตนเองโดยไปที่แท็บ 'อัปเดต' คลิกปุ่ม 'โหลดซ้ำ<' จากนั้นคลิกปุ่มตัวเลือก 'ทั้งหมด' เมื่อเลือกแล้ว ให้คลิกปุ่ม 'เรียกใช้'

ดูหน้าต่างบันทึกด้านล่างเพื่อดูข้อผิดพลาด หากทุกอย่างเป็นไปตามแผน ให้ทดสอบว่ารายการใช้งานได้โดยเพียงแค่พยายามทำ nslookup จากไคลเอ็นต์บนฝั่ง LAN ไปยังโดเมนใดโดเมนหนึ่งที่แสดงอยู่ในไฟล์ข้อความไฟล์ใดไฟล์หนึ่งที่ใช้ในการกำหนดค่า DNSBL

ดังที่เห็นในผลลัพธ์ข้างต้น อุปกรณ์ pfSense กำลังส่งคืนที่อยู่ IP เสมือนที่ได้รับการกำหนดค่าใน pfBlockerNG ให้เป็น IP ที่ไม่ถูกต้องสำหรับโดเมนบัญชีดำ

ณ จุดนี้ ผู้ดูแลระบบสามารถปรับรายการต่อไปได้โดยการเพิ่มรายการหรือสร้างรายการโดเมน/IP ที่กำหนดเอง pfBlockerNG จะเปลี่ยนเส้นทางโดเมนที่ถูกจำกัดเหล่านี้ไปยังที่อยู่ IP ปลอมต่อไป

ขอขอบคุณที่อ่านบทความเกี่ยวกับ pfBlockerNG โปรดแสดงความขอบคุณหรือให้การสนับสนุนซอฟต์แวร์ pfSense รวมถึง pfBlockerNG โดยมีส่วนร่วมในการพัฒนาอย่างต่อเนื่องของผลิตภัณฑ์ที่ยอดเยี่ยมทั้งสองนี้ เช่นเคยโปรดแสดงความคิดเห็นด้านล่างพร้อมข้อเสนอแนะหรือคำถาม!