Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    pfBlockerNG и DNSBL

    Russian
    3
    16
    1389
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      lucas1 last edited by

      Добрый день.
      Добавил несколько DNSBL Feeds в каждом по несколько списков.
      Все нормально, но оказался заблокированным по DNSBL Virtual IP один из необходимых сайтов.
      Журнал dnsbl.log пустой.
      Как его включить?
      Т.е. как через интерфейс PfSense найти какой список блокирует нужный сайт.

      R 1 Reply Last reply Reply Quote 0
      • L
        lucas1 last edited by

        Уточнение.
        Исключения для запрещенных доменов добавлять в Custom Domain WhiteList?

        1 Reply Last reply Reply Quote 0
        • R
          Renat @lucas1 last edited by Renat

          @lucas1 один из вариантов - да, добавить в whitelist
          Если в логах не видно - посмотри в алертах какое правило блокировки отрабатывает:
          https://192.168.1.1/pfblockerng/pfblockerng_alerts.php
          Там же можно быстро добавить в исключения
          8a2d8312-b4e4-493b-99b0-62e41d8eaba3-image.png
          После добавления в исключения не забывай почистить кэш браузера (как в подсказке указано)

          1 Reply Last reply Reply Quote 0
          • L
            lucas1 last edited by

            Добавил определенный FQDN в Custom Domain WhiteList - сработало.
            Но в Firewall\pfBlockerNG\Alerts DNSBL не появляются Last Alert Entries.
            И для Deny + Add IP to Supress List где он список?

            R 1 Reply Last reply Reply Quote 0
            • R
              Renat @lucas1 last edited by

              @lucas1 еще проверь на всякий случай логирование
              bb743086-7a8e-41a2-b00a-3fdb35d6341c-image.png

              1 Reply Last reply Reply Quote 0
              • L
                lucas1 last edited by

                Enable Logging - Enable
                List Action - Deny Both, а у тебя Disabled.? А почему? Честно говоря описание некоторых параметров какое-то мутное.

                И где все-таки находится Supress List pfBlockerNG? + на твоем рисунке.

                R 1 Reply Last reply Reply Quote 0
                • R
                  Renat @lucas1 last edited by

                  @lucas1 у меня disabled потому что я его оставил дефолтным, не менял.

                  @lucas1 said in pfBlockerNG и DNSBL:

                  И где все-таки находится Supress List pfBlockerNG? + на твоем рисунке.

                  это не понял.

                  L 1 Reply Last reply Reply Quote 0
                  • L
                    lucas1 @Renat last edited by

                    @Renat
                    На предидушем рисунке DNSBL last entries с красной стрелкой возле красного замка еще есть i и + в каждой строке. Если подвести курсор к +, то появляется подпись
                    Add IP to Suppress List.
                    Такое же и для Deny (IP) - Last Alert Entries. Поэтому и интересует где Suppress List pfBlockerNG.

                    Насчет Disabled - не спорю, но : but most likely ‘Deny Both’ will be the desired option у одного автора.

                    R 1 Reply Last reply Reply Quote 0
                    • R
                      Renat @lucas1 last edited by

                      @lucas1 это? https://192.168.1.1/pfblockerng/pfblockerng_ip.php
                      285ff7ba-1e9c-408d-a15d-8f29eec2c44f-image.png

                      L 1 Reply Last reply Reply Quote 0
                      • L
                        lucas1 @Renat last edited by

                        @Renat
                        Разобрался.

                        Для Deny IP
                        Alerts can be suppressed using the '+' icon in the Alerts tab and IPs added to the 'pfBlockerNGSuppress' alias - или в этот алиас вручную

                        Для DNSBL entries
                        In Custom Domain Whitelist - вручную
                        I recommand to use + button in Alert tab to add custom domains to the whitelist

                        У нас наверное разные версии или pfSense или pfBlockerNG.
                        У меня поля ввода Supression нет вообще и называется параметр просто Suppression, а не
                        IPv4 Suppression.

                        Но в Firewall\pfBlockerNG\Alerts Deny IP есть записи, а в DNSBL entries записи так и не появляются. Хотя сами блокировки из загруженных Feeds and Lists на DNSBL Virtual IP
                        срабатывают.

                        А где еще посмотреть про DNSBL entries - непонятно.

                        R 1 Reply Last reply Reply Quote 0
                        • R
                          Renat @lucas1 last edited by

                          @lucas1 said

                          Для Deny IP
                          Alerts can be suppressed using the '+' icon in the Alerts tab and IPs added to the 'pfBlockerNGSuppress' alias - или в этот алиас вручную
                          Для DNSBL entries
                          In Custom Domain Whitelist - вручную
                          I recommand to use + button in Alert tab to add custom domains to the whitelist

                          Это ты где вычитал?

                          У нас наверное разные версии или pfSense или pfBlockerNG.

                          у меня из ветки devel
                          d15ec4e4-8bb3-437a-83d0-0c421aed778c-image.png

                          L 1 Reply Last reply Reply Quote 0
                          • L
                            lucas1 @Renat last edited by

                            @Renat
                            Для Deny IP - на кнопке I в описании под параметром Suppression.
                            Для DNSBL entries - в одной инструкции в интернете. Подтверждается практически ручное внесение определенного FQDN в Custom Domain Whitelist для исключения.

                            2.1.4_16 pfBlockerNG без devel.

                            Только заметил, что есть обновление к нему.

                            В принципе ладно с DNSBL entries.
                            Хотя доставляет неудобства.

                            Буду отслеживать через nslookup, если кто-то не сможет зайти на какой-то "нормальный" сайт из Feeds and Lists DNSBL.

                            Может напишу еще владельцу pfBlockersNG за DNSBL entries.
                            Пока писал, случайно заметил
                            DNSBL - Last 10 Alert Entries
                            Aug 09 20:48:46 Unknown Unknown www.google-analytics.com
                            Not available for HTTPS alerts EasyPrivacy
                            DNSBL_EasyList
                            Aug 09 20:48:31 Unknown Unknown adservice.google.com
                            Not available for HTTPS alerts SWC
                            DNSBL_Misc
                            Found 2 Alert Entries - Insufficient Firewall Alerts found.

                            Появились.
                            Я вручную днем пробовал через браузер и nslookup разные FQDN для теста из Feeds and Lists DNSBL - не появлялись.
                            Но nslookup срабатывало на DNSBL Virtual IP.

                            Непонятно тогда, когда эти записи должны появляться. И почему IF и Source - unknown, а у тебя LAN и .1.20 к примеру.

                            L 1 Reply Last reply Reply Quote 0
                            • L
                              lucas1 @lucas1 last edited by

                              @lucas1
                              Заметил еще одну особенность использования Feeds and Lists DNSBL.
                              Захожу в браузере на какой-то сайт. А в левом нижнем углу браузера мелькают строки Соединение с (например) counter.yadro.ru, c.bigmir.net, cdn.admixer.net поочереди. Понятно, что с этих FQDN берется реклама или еще что-то.
                              Но эти FQDN находятся в DNSBL какого-то Feeds and Lists.
                              Т.е разрешаются в DNSBL Virtual IP.
                              Браузер ожидает соединение, не получает и замедляется. И показывает сравнительно долго что страница еще не полностью загружена.

                              Это вызывает небольшое недовольство пользователей. Типа долго грузятся страницы.

                              Но не будешь же вычислять для разных сайтов заблокированные FQDN, которые по какой-то причине находятся в DNSBL, хотя скорее всего не являются вредоносными.

                              Или не обращать внимания - типа так и должно быть при использовании Feeds and Lists на DNSB?
                              Не выключать же pfBlockerNG DNSBL.

                              R 1 Reply Last reply Reply Quote 0
                              • R
                                Renat @lucas1 last edited by

                                @lucas1 вообще в корпоративном сегменте этот модуль нужно осторожно использовать. Таких пересечений может быть множество и всего не учтешь. Если бизнес не просит блокировать рекламу - то не стоит). Другое дело если дома, наткнулся - можно покрутить настройки.

                                L 1 Reply Last reply Reply Quote 0
                                • L
                                  lucas1 @Renat last edited by

                                  @Renat
                                  Вообще-то я не рекламу хочу блокировать, а подозрительные FQDN с malicious software.

                                  1 Reply Last reply Reply Quote 0
                                  • werter
                                    werter last edited by werter

                                    Добрый.

                                    @lucas1 said in pfBlockerNG и DNSBL:

                                    подозрительные FQDN с malicious software.

                                    Если не боитесь слежки 🕵 , то для блокирования с пом. ДНС всякой каки можно пользовать ДНС в Сети. Такое есть у Яндекса, AdGuard DNS, OpenDNS

                                    Устанавливаете в настройках пф нужные ДНС , правилами Port forward на ЛАН принудительно заворачиваете ВСЕ днс-запросы из ЛАН на адрес пф, чистите кеш ДНС на пф и на клиентах , проверяете. Всё.

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post