Configurar o pfBlocker no pfSense http://nextsense.com.

br/blog/archives/976

Configurar o pfBlocker no pfSense

Posted on 15/12/2011 by marcelloc

O pfBlocker começou como uma tentativa de consertar e/ou melhorar o countryblock.

A evolução do pacote veio com a necessidade de bloquear listas de IPs para qualquer serviço e não
somente restringir a navegação através do Squid.
Este pacote não substitui o SquidGuard, uma vez que o pfBlocker funciona na camada 3 e o SquidGuard na
camada 7 do Modelo OSI.

O conceito que acho excelente no pfBlocker é a facilidade de criar regras baseadas em listas negras tais
como servidores proxy, adwares e vírus, o que facilita muito o trabalho do administrador de firewall.
Estas listas, são aplicadas para redes ou usuários que não querem ser filtrados pelo Proxy e tem poder
suficiente na empresa para conseguir essa regalia.

É como bloquear executáveis por email: Você se protege de algo que dificilmente será questionado por usuários
mimados.

Vamos à configuração do PfBlocker:

Na primeira aba, você define quais são suas interfaces de entrada e de saída e que ação você quer tomar
quando for bloquear uma lista.
Para não deixar um usuário interno esperando pelo “timed out” de uma conexão IP bloqueada para uma parte do
site que, por exemplo, tem um ADS, a opção padrão é “reject“.
Para quem vem de fora e está bloqueado, a espera por 04 segundos de uma tela de erro é pouco significativa.
Por isso, a ação padrão de entrada é “deny“.

clique para aumentar a imagem

Na segunda aba está a evolução do ip-blocklist.

Nela você cria aliases e associa uma série de listas do mesmo tipo a este alias, podendo descrever o
conteúdo destas listas e definir a freqüência de atualização delas.
Se você tem a faixa de IPs do Facebook e de outras redes Sociais, então você pode criar um único alias
“RedesSociais” e aplicar a todas elas.

Um ponto importante para a liberdade do administrador, é poder escolher o que fazer com esta lista no campo
“action“.
Permitir/bloquear – entrando/saindo, ou criar somente um alias e aplicar as regras em ambas as direções ou
somente para portas ou protocolos específicos.

1 de 5 02/04/2014 06:47
Configurar o pfBlocker no pfSense http://nextsense.com.br/blog/archives/976

Se você tiver uma lista local, ou somente algumas faixas de IP em mente, use o campo “custom list” e cole esta
lista no format CIDR.

clique para aumentar a imagem

clique para aumentar a imagem

Nas outras abas do pacote você pode escolher os países, ou continentes inteiros, aos quais você não quer
permitir acesso, com a mesma granularidade das listas.

clique para aumentar a imagem

O único ponto triste é evoluir uma ferramenta que facilita e até incentiva o bloqueio do nosso próprio país.
Eu, por exemplo, nunca entrei no site do tommyboy, que idealizou e programou a primeira geração desta
ferramenta, porque ele aplica o bloqueio a IPs do Brasil.

Existem vários sites que disponibizam listas negras para as diversas finalidades. No site I-BlockList tem as
fontes originais destas listas. Porém, qualquer lista no formato p2p, CIDR ou simplesmente IPs, pode ser
incluída no pacote. Estas listas podem ser .txt ou .gzip.

O widget criado para o dashboard, mostra o alias, a quantidade de redes incluídas na lista, o total de pacotes
atingidos pelas regras aplicadas e, por ultimo, a informação visual se aquele alias esta aplicado em alguma regra
ou não.

2 de 5 02/04/2014 06:47
Configurar o pfBlocker no pfSense http://nextsense.com.br/blog/archives/976

clique para aumentar a imagem

Um ponto importante que deixei de incluir nas informações do campo é com relação a descrição das regras
aplicadas.

Quando se usa a opção “alias only”, a descrição da regra criada no firewall precisa ter o nome do alias mais
alguma descrição, para ser possível capturar a quantidade de pacotes.
As regras definidas com descrição “pfBlockerAliasx ‘alguma coisa‘ rule” são identificadas pelo pacote como
regras geradas por ele, podendo simplesmente sumir depois de um apply. Uma dica para alteração da descrição
da regra seria ”pfBlockerAliasx regra personalizada”.

Para mudar a ordem de uma regra, ou criar uma white list personalizada, é preciso primeiro deixar ação da lista
como “alias only” para não correr o risco da ferramenta reaplicar as regras de acordo com suas configurações.

Colaboração e Edição: João Kemp

Compartilhar:

This entry was posted in pfSense, Tutoriais and tagged pfblocker, pfSense. Bookmark the permalink.

8 Responses to Configurar o pfBlocker no pfSense

Marcos says:
24/10/2012 at 13:19

Marcelo.. no comentário acima que você disse para aumentar o tamanho da Tabela em system>advanced, não achei isso cara. Me ajuda ai

Reply

Sudo2005 says:
15/08/2012 at 11:33

Prezado Marcelo.

Aqui após instalar o pfblock, no dashboard, no alto da tela ao lado do “help”, há uma mensagem de erro em amarelo, com vários conteúdos que se
alternam, uma delas é essa:

“Acknowledge All .:. 08-14-12 12:05:21 – [filter_load]There were error(s) loading the rules: /tmp/rules.debug:16: cannot define table pfBlockerspyware:
Cannot allocate memory/tmp/rules.debug:18: cannot define table pfBlockerlevel1: Cannot allocate memory/tmp/rules.debug:20: cannot define table
pfBlockerlevel2: Cannot allocate memory/tmp/rules.debug:22: cannot define table pfBlockerlevel3: Cannot allocate memory/tmp/rules.debug:24: cannot
define table pfBlockerbadpeers: Cannot allocate memory/tmp/rules.debug:26: cannot define table pfBlockerexclusions: Cannot allocate memorypfctl:
Syntax error in config file: pf rules not loaded The line in question reads [16]: table persist file /var/db/aliastables/pfBlockerspyware.txt .:. ”

Você sabe o que isso representa?

Se tiver que criar um tópico no fórum me avise que farei com prazer.

Reply

3 de 5 02/04/2014 06:47
Configurar o pfBlocker no pfSense http://nextsense.com.br/blog/archives/976

marcelloc says:
15/08/2012 at 12:03

Você precisa aumentar o tamanho da tabela de aliases em system -> advanced

Reply

Sudo2005 says:
14/08/2012 at 10:17

Prezado Marcelo.

Postagem super atual.

Me foi muito preciosa.

Aqui funcionou usando as configurações mais simples de seu artigo.

Muito Obrigado Amigo.

Reply

kemp says:
16/08/2012 at 18:47

Olá Anailton (Sudo2005),

Agradeço em nome do Marcello, que anda bastante ocupado.
E também em meu nome e de todos da Nextsense pela sua visita e elogios. Volte sempre.

Reply

Alexander says:
13/03/2012 at 10:52

Como faço para visualizar tanto o dashboard do PFBlock (http://www.nextsense.com.br/blog/wp-content/uploads/pfBlocker_0.1.4_widget_02.png) como

ver o que foi bloqueado pelas regras criadas nele.

Reply

Marcello Coutinho says:

13/03/2012 at 12:43

O widget pode ser adicionado pelo proprio dashboard, basta cliclar no ( + ).

Se o pfblocker não aparecer na lista de widgets disponíveis, refaça a instalação do pacote.

Para ver o que foi bloqueado, depois de habilitar a opção de log na configuração do pacote, acesse a página de log de firewall do pfsense.

O pfblocker usa funções nativas do pfsense, portanto não existe (ainda) a possibilidade de fazer um log específico para o pacote.

Reply

Sudo2005 says:
15/08/2012 at 19:00

Marcello.
Fiz o que você me orientou e a mensagem desapareceu após o boot. Só ficou mesmo o nome do domínio do meu usuário mas sem
tarja amarela nem aviso.

Espero que isso sane a dúvida de outras pessoas também.

4 de 5 02/04/2014 06:47
Configurar o pfBlocker no pfSense http://nextsense.com.br/blog/archives/976

Muito Obrigado Amigo.

Reply

2011 © nextsense.com.br

5 de 5 02/04/2014 06:47