PfBlockerNG Howto

simpsonetti

Hallo im pfsense wiki gibt es ein pfblocker howto, das mir aber schon etwas älter vorkommt. Kennt jemand ein howto, was neuer ist?

A Former User

Ich kann das Tutorial hier nur empfehlen. :)
https://www.youtube.com/watch?v=M81kFLEhhZQ

nemo12

Hallo
Habe jetzt schon viele Anleitung über pfblockerNG gelesen und überall wird es ein bisschen anders erklärt!
So wie ich das verstanden habe soll der ausgehende LAN Verkehr geblockt werden!
Aber im Video wird ja gezeigt Deny inbound!
Wie habt ihr euren GeoIP Blocker eingestellt?

JeGr

Ich würde bezüglich Howtos o.ä. noch ein wenig warten, da es gerade ein größeres Rewrite des pfBlockerNG gibt, was der Entwickler gerade u.a. auf Reddit vorgestellt hat. Hier ändert sich dann auch einiges.´

Getestet kann das momentan nur dann werden, wenn man pfBlocker entfernt, auf die Snapshots von 2.4.x updated und dort dann das neue Paket neu installiert (Konfiguration kann dann übernommen werden). Dann gibt es einige Neuheiten und einiges, was wieder hier im Netz herumschwirrt als Doku ist dann obsolete, da anders gelöst. Bspw. die internen IP Aliase oder auch der IP Platzhalter, der Probleme wegen der ominösen 1.1.1.1 gab, sind in der neuen Version ersetzt, anders gelöst und konfigurierbar. IP Einstellungen wurden unter neuer UI zusammengefasst, es gibt vordefinierte Listen die ausgewählt werden können etc. etc.

Also ggf. abwarten oder mal eine Testkiste updaten und anschauen, ich denke da wird einiges leichter werden.

nemo12

@jegr

OK vielen Dank für Antwort,dann werde ich mal abwarten und bin auf die überarbeitete Version gespannt!

un1que

@nemo12: Wobei ich noch etwas zu den Geo-Sperren hinzufügen möchte: ich habe an mehreren Stellen den Hinweis gefunden, dass man dies lieber sein lassen und nur bestimmte, aber eben die tatsächlich gefährlichen, Sachen sperren sollte.
Was soll ich sagen, 2 mal bin ich damit schon mal auf die Schnauze gefallen, als ich aus dem Urlaub per VPN nicht auf meine pfSense zugreifen konnte wegen den Geo-Sperren Seitdem sind sie bei mir raus.

nemo12

@un1que said in PfBlockerNG Howto:

@nemo12: Wobei ich noch etwas zu den Geo-Sperren hinzufügen möchte: ich habe an mehreren Stellen den Hinweis gefunden, dass man dies lieber sein lassen und nur bestimmte, aber eben die tatsächlich gefährlichen, Sachen sperren sollte.
Was soll ich sagen, 2 mal bin ich damit schon mal auf die Schnauze gefallen, als ich aus dem Urlaub per VPN nicht auf meine pfSense zugreifen konnte wegen den Geo-Sperren Seitdem sind sie bei mir raus.

OK was sind genau die gefährlichen Sachen?

un1que

Ich habe mich bei der Einrichtung vor ein paar Monaten daran orientiert:
http://supratim-sanyal.blogspot.de/2017/04/pfsense-pfblockerng-ultimate-list-of-ip.html

Finde ich persönlich auch deutlich besser, als die Geo-Sperren.

nemo12

@un1que

Dankeschön werde ich mir heute Abend mal anschauen!

Grimson

@jegr said in PfBlockerNG Howto:

Getestet kann das momentan nur dann werden, wenn man pfBlocker entfernt, auf die Snapshots von 2.4.x updated und dort dann das neue Paket neu installiert (Konfiguration kann dann übernommen werden).

Es reicht kurz auf den Development Zweig umzuschalten, pfBlockerNG-devel zu installieren und danach wieder auf Stable zurück zu schalten. Die pfSense darf gerne auf der Version 2.4.3p1 bleiben.

Wen man das so macht würde ich danach aber empfehlen per SSH auf die pfSense einzuloggen und folgendes auszuführen:

pkg install -f pkg

Dann gibt es eine Meldung das der Packet Manager downgegraded wird, dies dann bestätigen.

Der Hintergrund ist dieser das der Packet Manager sich auch auf die Development Version upgedated hat, und wenn man dann auf Stable zurück schaltet beschwert er sich sonst bei einem Repository update das die Versionen nicht übereinstimmen.

tpf

@grimson said in PfBlockerNG Howto:

@jegr said in PfBlockerNG Howto:

Getestet kann das momentan nur dann werden, wenn man pfBlocker entfernt, auf die Snapshots von 2.4.x updated und dort dann das neue Paket neu installiert (Konfiguration kann dann übernommen werden).

Es reicht kurz auf den Development Zweig umzuschalten, pfBlockerNG-devel zu installieren und danach wieder auf Stable zurück zu schalten. Die pfSense darf gerne auf der Version 2.4.3p1 bleiben.

Wen man das so macht würde ich danach aber empfehlen per SSH auf die pfSense einzuloggen und folgendes auszuführen:

pkg install -f pkg

Dann gibt es eine Meldung das der Packet Manager downgegraded wird, dies dann bestätigen.

Der Hintergrund ist dieser das der Packet Manager sich auch auf die Development Version upgedated hat, und wenn man dann auf Stable zurück schaltet beschwert er sich sonst bei einem Repository update das die Versionen nicht übereinstimmen.

Hab ich gerade mal getestet - der neue pfBlockerNG ist ja ziemlich lecker. Gefällt mir! Besonders die Reports / Statistiken

nemo12

@tpf

Ist eigentlich schon bekannt wann der neue pfblockerNG offiziell herauskommt?

tpf

@nemo12 said in PfBlockerNG Howto:

@tpf

Ist eigentlich schon bekannt wann der neue pfblockerNG offiziell herauskommt?

Leider keine Ahnung. Habe aber noch nichts gefunden, was nicht funzt. Mit Ausnahme der Anzeige der blocked-by-pfBlockerNG auf https://vip funktioniert es echt gut.

p54

Hi,

bin gerade auch auf den DEV-Zweig für pfBlockerNG gesprungen. Dieser sieht soweit sehr gut aus.
Und alle meine Listen hat er bei behalten. Sehr schön gelöst, auch die Reports sehen sehr aufgeräumt aus.

Jetzt muss ich nur noch sehen wie ich diesen mit Squid in Verbindung bringe:
https://forum.netgate.com/topic/131542/pfblockerng-mit-squid-greift-nicht

Hier mal eine kleine Liste, falls jemand Bedarf daran hat:

https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1 
https://danger.rulez.sk/projects/bruteforceblocker/blist.php 
https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist 
https://zeustracker.abuse.ch/blocklist.php?download=squidip 
https://www.spamhaus.org/drop/drop.lasso 
http://cinsscore.com/list/ci-badguys.txt 
https://www.openbl.org/lists/base.txt 
https://autoshun.org/files/shunlist.csv 
https://lists.blocklist.de/lists/all.txt 
https://feeds.dshield.org/top10-2.txt 
https://palevotracker.abuse.ch/blocklists.php?download=ipblocklist 
https://zeustracker.abuse.ch/blocklist.php?download=badips 
https://github.com/firehol/blocklist-ipsets/blob/master/iblocklist_ciarmy_malicious.netset 
https://github.com/firehol/blocklist-ipsets/blob/master/cruzit_web_attacks.ipset
https://github.com/firehol/blocklist-ipsets/blob/master/iblocklist_malc0de.netset
https://github.com/firehol/blocklist-ipsets/blob/master/iw_wormlist.ipset 
https://github.com/firehol/blocklist-ipsets/blob/master/malwaredomainlist.ipset
https://github.com/firehol/blocklist-ipsets/blob/master/cybercrime.ipset

VG, p54

simpsonetti

Werden denn die Veränderungen so massiv sein in vergleich zur aktuellen Version, dass das Howto wieder angepasst werden muss?
Aktuell ist das howto ja auch nicht richtig, bzw es passt nicht zu der aktuellen version. Kann das jemand anpassen, bzw wer ist denn dafür verantwortlich? Netgate oder die comm.?
Gruß Sebastian

tpf

Servus,
mit einem Update auf die aktuell im Testing verfügbare Version zerschieße ich mir nun schon drei pfS 2.4.3. Auf der Console kommen dann irgendwelche Fehlermeldungen mit "warning php startup unable to load dynamic library" -> Neuinstallation notwendig. Mal hängt es beim Deinstallieren von Paketen und mal läuft es lt. Updatemanager sauber durch, ist hinterher aber defekt.

Ich schalte zum pfBlocker-Update kurz auf den Testing-Zweig um und danach wieder zurück. Hatte bisher funktioniert.

Kann jemand ähnliches berichten?

Grüße

Grimson

Die pfBlockerNG-devel Version sollte jetzt auch ganz normal bei 2.4.3 vorhanden sein. Der 2.4.4 development Zweig ist inzwischen auf php 7 umgestiegen und damit natürlich nicht mehr zur 2.4.3 kompatibel, das sollte man als Admin aber auch erkennen bevor man sich eine Installation zerschießt.

tpf

@grimson said in PfBlockerNG Howto:

(...) das sollte man als Admin aber auch erkennen bevor man sich eine Installation zerschießt.

Daher sind auch nur meine Testinstallationen verstorben. Ansonsten: danke für den Hinweis. Das war mir tatsächlich entgangen.