Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Empfehlenwerte Blocklisten für den pfBlockerNG

    Deutsch
    3
    3
    1.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • ExordiumE
      Exordium
      last edited by

      Moin.

      Der Dschungel an freien und kommerziellen Blocklisten wird leider immer dichter und schnell hat man auch mal die falschen implementiert. Was man im Netz an "Empfehlungen" findet, wird in der nächsten "Empfehlung" schon wieder negiert... Entweder wird die Liste nicht mehr gewartet, hat viele Falscheinträge, hinkt von der Aktualität Tage hinterher. Das sind lauter so Dinge, die braucht man nicht. Die V3 vom pfBlocker kommt mit etlichen mehr oder weniger sinnvollen Compilations daher, die man meiner Meinung nach aber nicht blauäugig so übernehmen möchte bzw. sollte.

      Toll wäre es, wenn es hier eine angepinnte Liste mit validierten Empfehlungen gäbe, die wenigstens einigermaßen in Schuss gehalten (aktualisiert) wird.

      Auch das grundlegende Setup für den pfBlocker V3 wäre vielleicht hilfreich Das Teil ist relativ komplex geworden und einige der Funktionen entpuppen sich scheinbar als recht "speicherintensiv", um es mal milde auszudrücken...

      - pfSense Gold Subscriber -

      Sense 1: Shuttle DS57U3 (private)
      Sense 2: Supermicro Atom Barebone (Company Test)
      Sense 3 : 2 x Supermicro SYS-5018D-FN8T (Company Office)

      P 1 Reply Last reply Reply Quote 0
      • P
        p54 @Exordium
        last edited by p54

        @exordium ja es kommt ganz drauf an was du im Hintergrund laufen hast, ähnlich wie bei Snort/ Suricata.
        Ich würde hier def. auf python Funktion umstellen - extrem performant!

        Was bei mir sehr gut funktioniert sind folgende:

        IP > die Intervalle sind bei mir alle 6h eingestellt und both block + Kill state auf enable:

        • PRI1 > Standard Rules > Abuse_Feodo_C2 + Abuse_SSLBL + CINS_army + ET_Block + ET_Comp + ISC_Block + Spamhaus_Drop + Spamhaus_eDrop + Talos_BL

        • PRI2 > Alienvault + BDS_Ban

        DNSBL > Intervalle auf einen Tag bisauf die BadURL die auf 6h eingestellt ist

        • EasyList > EasyList + EasyPrivacy

        • ADs > Adaway + D_Me_ADs + D_Me_Tracking + Yoyo

        • Malicious > C19_CTC + D_Me_Malv + D_Me_Malw + Maltrail_BD + MVPS + SFS_Toxic_BD + Spam404 + Krisk_C19 + SWC

        • BadURL > eigene Auswahl > Abuse_urlhaus_online + URLHausHost

        • Firebog_Malicious > Phishing_Army

        Damit fahre ich ganz gut. Habe aber noch unter IP div. Spam- und ForenBots BL hinterlegt, aber wie gesagt, kommt darauf an was du noch so hinter deiner PFSense stehen hast.

        Hoffe es hilft dir ein wenig weiter. VG

        EDIT: Und wie im anderen Thread würde ich klar die DEVEL nehmen. Nutze seit gut 3 Jahren die Version und bugs gibts immer mal in einer Version auch in "stable" ;) Hier noch ein Status des hauptmaintainer: [https://www.patreon.com/posts/46753751](Link Adresse) aber bedeutet nicht, das es nicht weiter entwickelt wird. Klare Empfehlung!!!

        JeGrJ 1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator @p54
          last edited by

          Ich würde sagen bei IP Blocklisting:

          • PRI1 (ggf. ausgemistet, manchmal sind da noch Feeds drin die inzwischen schon wieder gestorben sind)
          • Je nach Bedarf PRI2, PRI3
          • Firehol Level 1 (ca. 2-4h)
          • Firehol Level 2 (alle Stunde)
          • eventuell Firehol Level 3 noch, da können aber inzwischen (leider) auch einige false positives drin sein (weil sich bspw. Dumpfnasen Kram auf Github oder Discord geteilt/gehostet haben und die IPs damit auf der Blocklist gelandet sind)

          Bei Firehol 2/3 dann ggf. auf allowlisting/suppression achten. Wie bspw. Github FRA IP die aktuell noch auf FH3 drauf ist. Generell Suppression mit an haben, damit die internen IP Ranges rausgefiltert werden.

          Bei PRI1 beim Feodo Tracker ggf. die aggressive List statt der default nehmen, da Emotet gerade wieder doll rumgeht.

          Nicht nur von außen, sondern auch intern NACH außen abgehend rejecten!

          DNS Blocking mach ich hier aktuell mit 2 PiHoles weil da nicht nur ich dran muss und die einfach leichter zu bedienen sind, aber sonst sind die genannten Listen auch gut. Steve_Black Liste ggf. noch auf Github die richtige Mischung raussuchen und mit hinzufügen. Da kann man sich dann auch viel Murks wegholen. (https://github.com/StevenBlack/hosts)

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.