pfBlockerNG для домашней сети

[axelk]

DNS over HTTPS еще есть, он остался незаблокированым. Наиболее популярные внешние сервера тоже в виде обновляемого списка было бы неплохо добавить в правила, если есть такой, подскажите.

[silinio]

см. внимательнее:
"На Firewall > pfBlockerNG > DNSBL > DNSBL SafeSearch ставим DoH/DoT Blocking в Enable и выбираем через Ctrl+A все домены списка DoH/DoT Blocking List."

Дополнительно можно добавить DNSBL DoH фиды TheGreatWall_DoH, Bambenek_DoH, Oneoffdallas_DoH и IP фиды TheGreatWall_DoH_IP, TheGreatWall_DoH_IP6.

Имейте ввиду, что IP DoH содержат IP адреса ряда публичных DNS серверов Google, Quad9 и Cloudflare.

[silinio]

Ещё есть Public DNS фиды, но пользоваться ими надо с осторожностью, могут содержать false-positive адреса.

[Anselm_nn]

Такое бы для RouterOS, понятно, что такой функционал есть, но готовые скрипты и ссылки не будут лишними

[silinio]

Конечно:
https://stopad.cgood.ru

[werter_l]

Спасибо за продолжение )

Как альтернатива - Adguard Home https://github.com/AdguardTeam/AdguardHome

Можно развернуть прямо на pfsense https://broadbandforum.co/t/205884/

Доп. списки блокировки:

• oisd blocklist https://oisd.nl/how2use

• StevenBlack https://github.com/StevenBlack/hosts

• firebog https://firebog.net/

• Energized Protection - block https://github.com/EnergizedProtection/block (использовать тип ADBLOCK FILTER)

• Energized Protection - unblock https://github.com/EnergizedProtection/unblock

[werter_l]

Идём на Firewall > NAT > Port Forward - Add. И создаём следующее правило

Хорошее дело делаете, популяризируя pfsense, но в оф. доки заглядывайте перед публикацией.

Народ-то дословно будет выполнять то, что вы написали (

Принудительный редирект DNS создается на LAN https://docs.netgate.com/pfsense/en/latest/recipes/dns-redirect.html

И DNS - это и TCP и UDP. Редиректить надо оба протокола.

Поправьте статью.

Ps. Кстати, а умеет ли pfblockerNG сам в DoH? Чтобы провайдер не знал о том, к каким ресурсам идет обращение? Adguard и pi-hole могут.

Pps. У себя в домене и ntp (123 / udp) завернул по аналогии для большего удобства.

[silinio]

Принудительный редирект DNS создается на LAN https://docs.netgate.com/pfsense/en/latest/recipes/dns-redirect.html

И DNS — это и TCP и UDP. Редиректить надо оба протокола.

Опечатался, спасибо что заметили

Исправлено

[werter_l]

Еще хорошие мануалы по настройке pfblocker-а:
www.privacyaffairs.com/ip-filtering-pfsense
nguvu.org/pfsense/pfSense-pfblockerng-configuration-guide
На nguvu.org вообще много по настройке pfsense + оф. форум forum.netgate.com/topic/163435/proxmox-ceph-zfs-pfsense-%D0%B8-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D1%87%D0%B0%D1%81%D1%82%D1%8C-2

[jazzl0ver]

Значение DNSBL IPs List Action ставим в "Alias Deny".

чем это лучше Deny Both?

и еще заметил, что списки Abuse_urlhaus_30d и Abuse_urlhaus_online, доступные "из коробки", не сказать, что бы полные:

# Abuse_urlhaus_30d 
$ curl -s https://urlhaus.abuse.ch/downloads/text_recent/ | wc -l
49237
# Abuse_urlhaus_online
$ curl -s https://urlhaus.abuse.ch/downloads/text_online/ | wc -l
8454

# missing one
$ curl -s https://urlhaus.abuse.ch/downloads/text/ | wc -l
174636

Добавил последний вручную:

[silinio]

Alias Deny можно использовать в любых правилах, это даёт большую гибкость.
С фидами ничего особенного,- они постоянно меняются, появляются новые, перестают работать имеющиеся (сейчас из России не работает Talos фид).

[jazzl0ver]

Спасибо за быстрый ответ.

Alias Deny можно использовать в любых правилах, это даёт большую гибкость.

Мне кажется, стоит добавить пояснение в статью, что alias deny не создает правила, а только добавляет алиас. Дальше админ уже сам решает где этот алиас использовать.

[jazzl0ver]

стоит сказать, что эти базы содержат в том числе урли вида https://drive.google.com/uc?export=download&id=1GVnZex... (docs.google.com, sites.google.com), что приводит к блокировке всего гугл диска, и их приходится добавлять в белый список вручную.