Hola, como muchos sabemos, con Pfsense podemos tener un excelente firewall cuando hacemos uso de los distintos servicios que cuenta como es el firewall, squid, pfblockerNG y snort bajo el mismo equipo.
Este post nos enfocaremos en PfBlockerNG, para aquellos que no esten familiarizados con esta pieza de software, su funcion es simple pero funcional.
Se integra con el dns interno de Pfsense, si estan haciendo uso del dns cache que trae Pfsense que en este caso estamos trabajando la version 2.4.5-Release, pero que toda la rama 2.4.x de fabrica hace uso de el y se llama:
DNS Resolver
Ya que estamos hablando de PfblockerNG y aun no lo han configurado o tienen dudas como se lleva a cabo, les recomiendo de mi canal mi video donde tengo como se configura.
Ahora regresando al tema, para que PfblockerNG funcione, debemos hacer uso de dns resolver de pfsense, hasta el momento no se puede hacer uso de ningun dns externo, para que lo tomen en cuenta cuando decidan hacer uso de el.
Ya que lo tienen trabajando, sabemos que no hay equipo que no pase por sus filtrado, y su tarea es bien sencilla y poderosa, ya que una vez que un cliente consulta a el dns, pfsense recibe la consulta atraves de dns-resolver, este le envia la informacion a PfblockerNG y este revisa su listado de dominios o IP que estan configurados para ser bloqueados.
Si la consulta coincide con algun dominio o IP de su bases de datos, bloquea esa consulta, asi de simple funciona, el filtrado lo hace a nivel de dns, si no esta en base de datos le regresa la peticion a dns resolver para que haga su tarea de DNS.
A el no podemos engañarlo.
Pero se viene un pequeño problema, si nosotros deseamos que ciertas IP's de ciertos usuarios no queremos sean filtradas por PfBlockerNG, como podemos hacerlo?
Existe una manera la cual si son pocos equipos no hay problema, pero si son muchos solo es un poco tedioso pero funciona.
Como siempre vamos por un ejemplo practico.
Tenemos en la red 1 equipo el cual tiene la IP: 192.168.20.114, en este momento como todos los equipos de la red, cuando hace alguna consulta a el dns que lo administra pfsense-dns resolver, es filtrado por PfBlockerNG, si me voy a la pagina de www.megaproxy.com.ar.
Como podemos ver en la figura anterior, bloqueado por PfBlockerNG, tenemos una lista donde ese dominio se encuentra y no lo dejara pasar.
Esta es la lista que le dimos a PfBlockerNG:
Ahora como podemos liberar para que este equipo con la IP mencionada no sea filtrada por PfBlockerNG?
Aclarando, aun no hay manera de que solo filtre ciertas listas que se le entregan a PfBlockerNG, hasta la fecha esto no es posible, una vez que liberan, este equipo dejara de hacer uso de PfBlockerNG o sea, ya no lo filtrara, para que tomen bien en cuenta los equipos que vayan a liberar.
Para liberarlo nos vamos a ir Pfsense --> Services --> Dns Resolver.
Nos vamos hasta la parte baja de la configuracion.
server:
access-control-view: 192.168.20.114/32 libre
access-control-view: 192.168.20.0/24 dnsbl
view:
name: "libre"
view-first: yes
view:
name: "dnsbl"
view-first: yes
include: /var/unbound/pfb_dnsbl.*conf
#server:include: /var/unbound/pfb_dnsbl.*conf
Quedando asi:
Salvamos la configuracion y aplicamos los cambios.
Revisamos que el servicio este en ejecucion lo cual nos indica que la configuracion esta correcta.
Servicio en ejecucion, ahora vamos hacer las pruebas de fuego.
Recuerden la pagina que nos bloqueo PfBlockerNG www.megaproxy.com.ar.
Antes de, voy a limpiar cache de los navegadores con ccleaner.
Mas vale ya que recuerden que los navegadores menejan cache y nos pueden mentir, asi que mejor los limpiamos para que hagan la consulta a dns resolver.
Abrimos nuestro navegador y tecleamos la pagina bloqueda.
Listo, ya no esta siendo filtrada por PfBlockerNG, pero vamos ahora a otra pagina para adultos, a ver que pasa, www.playboy.com, esta tambien estaba bloqueada por PfBlockerNG, vamos probando.
Ya no la bloquea, pero al proxy no se le va :-).
Aqui terminamos, si desean agregar mas IP solo tienen que ir dandolas de alta una por una, si desearamos agregar la IP 192.168.20.115.
access-control-view: 192.168.20.114/32 libre1
access-control-view: 192.168.20.115/32 libre2
access-control-view: 192.168.20.0/24 dnsbl
view:
name: "libre1"
view-first: yes
view:
name: "libre2"
view-first: yes
Etc, etc.
Hasta aqui terminamos este mini tutorial de PfBlockerNG para Pfsense, no olviden visitar mi canal para que sigan aprendiendo conmigo.
Canal de Pedro el Pheriko Moreno :-)
Para soporte comercial recuerden mi pagina www.bajaopensolutions.com.
Dudas al respecto aqui en los comentarios, hasta luego banda!!!
NOTA: Este post se obtuvo de un post en el foro de USA, credito a quien se lo merece, post original.
https://forum.netgate.com/topic/129365/bypassing-dnsbl-for-specific-ips
Hola Don Pedro, he seguido tu video de IPSEC en Youtube y he hecho pruebas con wireshark para filtrar el trafico y va cifrado todo funciona, mi idea es apagar el tunnel ipsec y esnifar el trafico sin cifrado, soy estudiante podría mandarte mi diagrama de red. ya que cuando apago el tunnel ipsec las redes no se ven.
ResponderEliminarHola, me perdi.
ResponderEliminarTienes una VPN con IPSEC, quieres apagar el servicio y snifear el trafico de esa VPN sin estar prendida o cual deseas snifear?
Saludos.
Correcto realmente lo hago con virtualbox porque no tengo infraectructura para hacerlo en entorno real entonces hago pruebas,el primer Pfsense tiene red lan 1 192.168.2.1 y la otra interfaz opt1 192.168.10.2 eso seria la primera red. entonces el tunnel IPSEC está en la red 192.168.10.0/24. el otro pfsense
ResponderEliminarred lan 192.168.5.1 y la otra interfaz opt1 192.168.10.4
Entonces la red 192.168.3.1 se comunica con la red 192.168.5.1 mediante ipsec( red 192.168.10.0/24) he hecho ping entre ambas y todo ok
Entonces yo puse un equipo con wireshark en la red 192.168.10.0/24 y cuando esnifaba paquetes salia cifrado
entonces comprobe que ipsec está correcto. se veia el tráfico de la 192.168.10.2 como enviaba paqueted a la 192.168.10.4 e iban cifrado.
Mi idea es apagar el tunnel ipsec y sobre la misma red (192.168.10.0/24)
esnifar paquetes sin cifrar. pero si apago el tunel me da ping timeout o no route in host.
Muchas gracias por tus videos estoy aprendiendo mucho pfsense contigo, soy estudiante de España de administración de sistemas infórmaticos en red.
no sé si esta vez me he explicado mejor,
de nuevo muchas gracias.