山姆是一家算法交易公司的网络分析师。他在UMKC获得了信息技术学士学位。
PfBlocker是pfSense 2.x版的软件包,允许您将IP阻止列表和国家/地区阻止功能添加到pfSense防火墙或路由器。创建PfBlocker是为了取代IP区块列表和国家/地区区块软件包的功能。
我认为这个包是任何在网络上运行电子邮件服务器的人必须拥有的包。这个包将迅速让你阻止垃圾邮件来源的前10个国家。
PfBocker还允许您配置自定义阻止列表,以阻止从您指定的任何IP地址或网络的流量。
网络上有几个免费的阻止列表,针对已知的恶意IP范围、僵尸网络IP地址、受损IP等。
安装包
要安装包,请点击系统菜单中的“Packages”打开pfSense包管理器。在列表中找到包,然后单击右边的加号开始安装。
PfBlocker仅适用于pfSense 2.x版,因此,如果您尚未升级pfSense安装,则需要先升级,然后才能使用此软件包。
安装完成后,软件包的防火墙菜单中将有一个新的菜单项。
可以使用软件包管理器安装软件包。
配置
配置页面的第一个选项卡包含常规软件包设置。要打开拦截器,必须选中复选框'启用PFR阻止程序”;否则不会创建防火墙规则。
我还想继续并启用日志功能;如果打开日志,则对可能发生的任何问题进行故障排除会容易得多。
您还需要配置入站和出站接口及其相关操作;下面是每种设置的说明。
- 入站接口(年代)-如果您打算阻止进入网络的流量,则应在本节中选择WAN接口。
- 入站拒绝操作-我建议坚持默认的“阻止”操作。被阻止的流量将由防火墙自动丢弃,并且不会向源发送重置数据包或ICMP不可访问消息。
- 出站接口-如果要阻止来自网络内的传出流量,请在此处选择LAN接口。如果要防止网络上的用户连接到阻止列表上的IP地址,此功能非常有用。
- 出站拒绝操作-同样,这里的默认操作通常是合适的。Reject将使用重置(RST)数据包或UDP通信的ICMP不可访问消息通知源IP。拒绝对LAN主机很有用,因为它可以让应用程序和用户了解他们的流量情况。
完成常规设置后,单击拯救按钮
在“常规设置”选项卡上选择入站和出站界面。
顶级垃圾邮件发送者
Top Spammers标签允许您快速阻止任何前10个国家的垃圾邮件来源。
如果您的网络上有一个邮件服务器,那么这个特性是减少进入网络的垃圾邮件数量的一种简单方法。
配置
- 在配置页面中选择“顶级垃圾邮件发送者”选项卡。
- 从列表中选择要阻止的国家/地区。通过按住CTRL键并单击,可以选择多个国家/地区。
- 将动作设置为“拒绝入站”,以阻止来自所选国家的连接。
- 单击“保存”应用设置。
如果你有一个邮件服务器,你可以很容易地阻止垃圾邮件的发源国家。
封锁个别国家
该软件包预装了许多不同国家/地区的子网列表。您可以通过单击pfBlocker中的大陆选项卡来选择要阻止的各个国家。
选择大陆页面后,可以选择一个或多个要阻止的国家。要选择多个国家,请在进行选择时按住控制按钮。
默认操作为“禁用”,不会阻止国家/地区。您必须选择“拒绝入站”或“拒绝出站”以实际阻止流量。
您可以通过将动作更改为一个permit功能来将一个国家列入白名单。
可以使用“洲”选项卡阻止单个国家。
添加阻止列表
这个软件包的一个很好的特性是,您可以添加自己的IP列表。列表功能允许您为公共阻止列表指定URL,该列表可由包自动下载和更新。
PfBlocker支持文本或gzip格式的列表。
自定义列表功能允许您指定CIDR格式的IP或网络列表,以添加到阻止列表中。
添加自定义列表
- 单击“列表”选项卡。
- 输入自定义列表的别名和可选说明。
- 以CIDR格式输入网络地址的URL或本地文件。(选择txt或gzip格式)。可以在底部的自定义列表框中添加各个网络。
- 将列表操作设置为拒绝入站或出站。选择permit(许可证)会将这些IP的流量列入白名单。
- 如果希望pfBlocker自动更新列表,请选择更新频率。
- 单击“保存”以添加自定义列表。
您可以在列表选项卡上指定您自己的自定义IP列表。
有用的IP阻止列表
| 阻止列表 | 描述 | 统一资源定位地址 |
|---|---|---|
SpamHaus.org下降列表 |
这个列表包含了已知由专业垃圾邮件发送者操作的网络。 |
http://www.spamhaus.org/drop/drop.lasso |
DShield最活跃攻击者 |
IP是web上最活跃的攻击者之一。每日更新。 |
http://feeds.dshield.org/top10-2.txt |
祖茂堂IP过滤清单 |
IP目前正在被Zues追踪器追踪。(命令及控制服务器) |
https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist |
管理自定义列表
保存列表自定义列表后,它将出现在列表选项卡中。如果您计划添加多个自定义列表,请确保设置一个描述性名称,以便您能够跟踪它们。
要更改自定义列表,请单击右侧的“编辑”按钮。要删除列表项,请单击X符号。
添加自定义列表后,它将显示在“列表”选项卡中。要添加其他列表,请单击加号。
内存利用率
记住,每个启用的块列表都将消耗系统RAM,这一点也很重要。如果您的pfSense盒没有足够的内存,那么性能可能会因此受到影响。
您可以使用system information dashboard小部件监视内存利用率。如果您发现内存在75%以上,那么您应该考虑向系统中添加更多的RAM。
检查pfBlocker的状态
确保pfBlocker正常工作的最简单方法是使用dashboard小部件。
pfBlocker仪表板小部件将列出为每个别名加载的CIDR范围数、每个列表阻止的数据包数、每个列表的状态(启用/禁用)。
要检查pfBlocker的状态,请添加dashboard小部件。
故障排除
如果pfBlocker似乎没有阻塞任何流量,那么您可以检查一些东西来解决您的问题。要获得更多帮助,请查看pfSense论坛。
- 确保pfBlocker已启用在“常规设置”页面上。如果未启用,则不会创建防火墙规则。
- 仔细检查接口选择一般情况下。
- 检查系统日志(确保首先启用了日志记录)。PfBlocker日志条目将显示在主系统日志中。可以在web gui的状态菜单中找到系统日志。按“pfblocker”筛选日志,以仅查看此包的条目。
- 确保规则是实际创建的. 启用pfBlocker并选择列表后,您将在防火墙规则页面的WAN或LAN选项卡上看到条目。它们将出现在页面顶部附近。
由于pfSense是有状态防火墙,新规则将不会应用于现有状态。
这意味着在状态清除之前,阻止流量的规则不会影响现有流量。您可以通过重新启动pfSense或在状态页面(diagnostics\states\Reset states)上手动清除状态。
据作者所知,这篇文章准确、真实。内容仅用于信息或娱乐目的,不能替代商业、金融、法律或技术事务中的个人顾问或专业建议。
©2011 Sam Kear
评论
ShelleyHeath2015年4月15日:
为这篇内容丰富的文章干杯,很高兴看到一步一步的指导,不遗余力。。。确实有助于避免由于简单的遗漏步骤而导致不必要的故障排除。
TTG视图2015年1月26日:
我遇到了hugpages用户问的问题,你能在特定港口封锁交通吗?
Hubbages用户2014年3月15日:
有没有办法将pfsense PFBlocker设置为仅阻止SMTP端口25通信?
这个老家伙2011年12月12日,在俄亥俄州某处:
我认为管理员还应该对照各种阻止列表检查他们的地址。
古诺·穆罕默德·穆纳瓦尔·穆阿扎姆2011年11月28日,毛里求斯Triolet:
感谢您与我们共享此中心,也感谢您为我们研究此软件。从现在起我会跟着你的!
