pfBlocker



  • Случайно просматривал System / PackageManager / Available Packages
    И обнаружил новый пакет pfBlocker-devel
    Теперь есть возможность установить любой или старый 2.1.2_3 или новый 2.2.1

    После установки на тест VM-машину ---- первые выводы очень положительные
    добавлено много полезных фишек(рабочих)
    При установке поверх старого удалять старый не надо ,новый сам все делает и сохраняет настройки старого



  • Речь о pfBlockerNG?
    Просто pfBlocker в моей версии в списке пакетов недоступен.



  • @pigbrother said in pfBlocker:

    Речь о pfBlockerNG?
    Просто pfBlocker в моей версии в списке пакетов недоступен.

    Чуть не забыл полное название пакета pfBlockerNG-devel 2.2.1

    А какя версия у Вас ???
    Очень рекомендую !!-- практически решены все недостатки предедущей версии
    почти 100% блокировка рекламы,очень хорошо работают DNSBL Blacklist/Whitelist плюс повышенная информативность блкировок для примера0_1528361893697_001_.jpg



  • @oleg1969 said in pfBlocker:

    А какя версия у Вас ???

    Я ретроград и пока на 2.3.х ☺



  • Раньше в предыдущей версии при блокировке сайта -- был черный экран с белой точкой , а теперь это выглядет так с указанием сайта

    0_1528366419924_002_.jpg

    и теперь сайт можно добавить в DNSBL Whitelist если вы в нем уверены
    Как пишет разработчик BBcan177 в /usr/local/www/pfblockerng/www можно сменить эту страницу



  • Выглядит привлекательно.



  • Продолжение наблюдений

    1 Отпала небходимость искать листы для блокировок
    2 Все листы есть в pfBlockerNG из коробки в разделе Feed стоит только выбрать и добавить
    3 Количество их просто зашкаливает (если какой не рабочий или потерял актуальность будет предупреждение после Update
    4 Присутствует даже блокировка Skype (рабочая)

    Еще раз рекомендую 👍

    Ссылка на описание и настройку нового pfBlockerNG

    https://www.linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/



  • @oleg1969 По ссылке написано:
    Since pfBlockerNG is only in the development branch as of now, you need to switch pfSense so it sees that branch/repository.

    Эта информация устарела и pfBlocker-devel доступен в стабильной ветке pfSense?



  • @pigbrother

    Я знаю ! и устанавливал его в стабильной ветке pfSense 2.4.3

    А ссылку дал как описание по настройке



  • @oleg1969 said in pfBlocker:

    Я знаю ! и устанавливал его в стабильной ветке pfSense 2.4.3

    Я знаю что вы знаете.☝
    Это был вопрос о доступности пакета в стабильной ветке PF.



  • Друзья, а вы не знаете. У меня стоит старый pfBlocker, работает через пень колоду, если честно, версия pf 2.4.2, как лучше сделать - старый деинсталлировать, а установить новый пакет, или можно поверх попробовать. Просто по опыту работы с прокси, она довольно криво обновлялась, особенно на старых версиях.



  • после прочтения инструкции вопрос снят



  • @kudrik_tt said in pfBlocker:

    Друзья, а вы не знаете. У меня стоит старый pfBlocker, работает через пень колоду, если честно, версия pf 2.4.2, как лучше сделать - старый деинсталлировать, а установить новый пакет, или можно поверх попробовать. Просто по опыту работы с прокси, она довольно криво обновлялась, особенно на старых версиях.

    Я УЖЕ ПИСАЛ!
    При установке поверх старого удалять старый не надо ,новый сам все делает и сохраняет настройки старого

    Единственное что желательно сделать все таки удалить старые настройки (возможно они не совсем подходящие)

    Если нужна только блокировка рекламы
    Достаточно включит только это

    0_1529479501314__001_.jpg

    и это0_1529479525137__002_.jpg



  • Уважаемые друзья, я знаю почему так происходит, но не знаю, можно ли что-нибудь с этим сделать. После включения PFBlocker, на mail стало появляться окно Предупреждение системы безопасности - Указанное в сертификате безопасности имя недопустимо или не совпадает с названием сайта. Понятно что pfBlocker подменяет на свой сертификат https сайты, никак не сделать, чтобы не вылазило сообщение?



  • @kudrik_tt said in pfBlocker:

    Уважаемые друзья, я знаю почему так происходит, но не знаю, можно ли что-нибудь с этим сделать. После включения PFBlocker, на mail стало появляться окно Предупреждение системы безопасности - Указанное в сертификате безопасности имя недопустимо или не совпадает с названием сайта. Понятно что pfBlocker подменяет на свой сертификат https сайты, никак не сделать, чтобы не вылазило сообщение?

    Это легко решается

    добавляем в pfBlockerNG / DNSBL вот такую фигню
    у меня и с VK было подобное0_1530090736268_Ashampoo_Snap_2018.06.27_12h05m01s_002_.jpg

    На будущее ! Идем сюда 0_1530090860756_Ashampoo_Snap_2018.06.27_12h06m04s_003_.jpg

    Смотрим(ищем) что у нас заблокировано и добавляем его в DNSBL Whitelist если надо конечно.
    Обязательно после добавления в DNSBL Whitelist делаем
    Update (reload / ALL)



  • Спасибо за ответ, но не в этом дело, с r.mail.ru я уже разобрался. Я про то что dnsbl в соединениях https подменяет сертификат сайта на свой, и при это сайт жалуется что произошла подмена, и при открытии выдает сообщения такого вида:0_1530096440346_1.jpg
    Или должно помочь и в случае сертификата?



  • Не знаю в Mozilla и Win-10 нет такого ,никто ничего не подменяет!
    Если что и не открывается то это решается как я описал выше

    Проверьте настройки DNSBL
    pS
    Такое возможно если дополнительно использовать левый(дополнительный ) ДНС сервер допустим яндех днс 77.88.8.7 в pfSense
    При доп сервере ДНС не работает и google ПОИСК



  • В Chrome и Mozilla такого нет, только в ie.



  • А можно поподробнее по поводу дополнительного DNS-сервера, у меня настроено 2 от одного провайдера и 2 от второго и стоит галочка "Do not use the DNS Forwarder/DNS Resolver as a DNS server for the firewall", это получается не правильно? А то сейчас dnsbl пофигу что у него в white листе, получил вот такую картинку:

    0_1530157296060_1.jpg
    То есть он видит что они у него в белом листе, но все равно продолжает блокировать. Рекламу dnsbl зарезал напрочь, но и нужное убил, мне бы до этого r.mail.ru и пофигу, но остальной народ воспринял эту новость не оптимистично)



  • Я пока не разобрался полностью, поэтому отключил hpHosts_ATS, но очень хочется чтобы все работало четко.)



  • Добрый
    @kudrik_tt Кто-то пользует IE в 2018-м ?



  • Да в общем то дело даже не в IE. Почему dnsbl видит что у него r.mail.ru в белом списке, но все равно продолжает блокировать, причем с любого браузера. Даже когда пингуешь хост r.mail.ru он отправляет на 10.10.10.1. Непонятно почему так может происходить.



  • Все DNSBL заработал, перезагрузил шлюз, и заработало. Может с кэшем что не то было. Спасибо.



  • @kudrik_tt

    Обязательно после добавления в DNSBL Whitelist делаем
    Update (reload / ALL)



  • @werter
    Как вам нравится повторять (не читая предедущие посты)

    @oleg1969 said in pfBlocker:

    Смотрим(ищем) что у нас заблокировано и добавляем его в DNSBL Whitelist если надо конечно.
    Обязательно после добавления в DNSBL Whitelist делаем
    Update (reload / ALL)



  • На будущее !

    Идем в Firewall / pfBlockerNG / Log Browser
    смотрим в error.log где видно с какими Feeds ошибки!

    Если лень смотреть логи добавляем на Dashboard виджет pfBlockerNG! где все это видно 0_1530177610087_Ashampoo_Snap_2018.06.28_12h18m24s_003_.jpg



  • @werter said in pfBlocker:

    @kudrik_tt

    Обязательно после добавления в DNSBL Whitelist делаем
    Update (reload / ALL)

    Делал Update после каждых изменений, на время обновление и перезапуска модуля, все работало, по прошествии нескольких минут, снова происходила блокировка, так что этот пункт я выполнял очень строго. Заработало и хорошо.



  • @oleg1969
    Повтор не для вас. Если не поняли.

    P.s. И поменьше знаков восклицания в тексте. Объясняю. На пальцах. Получается, что вы каждое предложение не говорите, а орёте. Смысл применения восклицания теряется.



  • @werter
    Без обид конечно ☺

    Чем бы дитя ни тешилось, лишь бы не плакало ☺

    из Высоцкого
    Куда мне до нее она была в Париже
    

    Вы хоть один пост типа мануала написали?
    А без мыла лезете в любой пост -- хотите показать какой вы тут самый умный ?
    За такое количество постов как у вас - пользы ноль (за редким исключением)

    Чем бы дитя ни тешилось, лишь бы не плакало
    

    Еще раз Без обид конечно

    И не надо здесь никого учить жизни ,Благодетель вы наш



  • Добрый.

    @oleg1969

    Вы хоть один пост типа мануала написали?

    Этого https://forum.netgate.com/topic/120102/proxmox-ceph-zfs/ хватит, спЭцЭалист ? На мануал в вашем "понимании" тянет?

    P.s. Еще раз убеждаюсь, что если человек пишет часто и не к месту с восклиц. знаками или раскрашивает свой пост в разные цвета (а у @oleg1969 и такое бывает), то с голов.. в жизни у человека не все в порядке. Диагноз почти.



  • @werter

    Еще раз Без обид

    https://forum.netgate.com/topic/120102/proxmox-ceph-zfs/

    Это как бы не Мануал это просто набор ссылок по теме и все .

    proxmox-ceph-zfs : Это конечно хорошо ,но перегружать все это хозяйство (из нескольких машин каждую неделю ? ☺

    Насчет головы ,рекомендую Вам сходить к психиатру и взять справку что вы
    не .......
    Ну и пройти курс лечения пока не поздно



  • Добрый.

    @oleg1969
    Это как бы не Мануал это просто набор ссылок по теме и все .

    Там, как минимум, мануалы по миграции, мануал по установке openswitch etc. Перечитайте еще раз. Там на русском. Но только не между строк (!!!) И пользуйте на здоровье.

    Насчет головы ,рекомендую Вам сходить к психиатру и взять справку что вы

    Только вместе с вами.



  • подскажите, как я понял, если настраивать по инструкции, то все правила pfBlockerNG будут применены для всех в LAN, можно ли как определенным IP адресам в LAN ходить мимо pfBlockerNG ?



  • Конечно можно

    Самый простой способ в Винде на конкретной машине для обхода pfBlockerNG
    установить свой ДНС сервер допустим 8.8.4.4 (или другой по желанию)как на скрипе
    0_1530912316414_002_.jpg

    IMXO
    Этот способ я считаю не совсем Кошерным (если в сети несколько машин которым требуется обход pfBlockerNG --- дальше писать я думаю не стоит)

    Способ второй

    Идем в Services / DHCP Server / LAN
    в DHCP Static Mappings for this Interface
    Присваиваем конкретной машине IP по MAC
    И в Services / DHCP Server / LAN / Edit Static Mapping
    вставляем свой ДНС допустим 8.8.4.4 (на выбор)как на скрипе)
    0_1530912408511_003_.jpg

    И незабывем на конкретном компе после внесения изменений откл/вкл сетевую карту(сбросить ДНС)Жирный текст



  • Добрый.

    @satsgm
    Там есть возможность настравить белые списки. Это самый корректный подход.

    На всех своих пф-сах специально заворачиваю все DNS- и NTP-запросы от клиентов на адрес пф. Оч. удобно контролировать. Плюс закрывается немаленькая такая дыра в плане ит-безопасности.



  • @werter said in pfBlocker:

    @satsgm
    Там есть возможность настравить белые списки. Это самый корректный подход.

    Где конкрето в pfBlockerNG ? и где пример ? скрин в студию ☺ а так без примера это напоминает словестный понос☺ ☺



  • This post is deleted!


  • @oleg1969

    Конечно можно
    установить свой ДНС сервер допустим 8.8.4.4 (или другой по желанию)как на скрипе
    Идем в Services / DHCP Server / LAN

    у меня в качестве DHCP сервера выступает не pfSense, но суть понятна - спасибо
    конечно хотелось бы узнать вариант с белыми списками, чтобы напрямую в pfBlockerNG указать конкретные IP, которым можно ходить в WAN напрямую



  • и еще такой момент в инструкции
    https://forum.it-monkey.net/index.php?topic=22.0
    в начале идет включение Services -> DNS Resolver -> General Option
    а только потом установка пакета pfBlockerNG

    а в инструкции https://www.linuxincluded.com/block-ads-malvertising-on-pfsense-using-pfblockerng-dnsbl/
    сразу идут к процессу установки пакета pfBlockerNG

    так нужно выполнять инструкции в Services -> DNS Resolver -> General Option?



  • @satsgm

    pfBlockerNG работает только с DNS Resolver

    Белых списков - именно для решения вашей задачи (обход pfBlockerNG конкретной LAN машиной нет, по крайней мере я не нашел ☹ )


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy