Comments 13
DNS over HTTPS еще есть, он остался незаблокированым. Наиболее популярные внешние сервера тоже в виде обновляемого списка было бы неплохо добавить в правила, если есть такой, подскажите.
см. внимательнее:
"На Firewall > pfBlockerNG > DNSBL > DNSBL SafeSearch ставим DoH/DoT Blocking в Enable и выбираем через Ctrl+A все домены списка DoH/DoT Blocking List."
Дополнительно можно добавить DNSBL DoH фиды TheGreatWall_DoH, Bambenek_DoH, Oneoffdallas_DoH и IP фиды TheGreatWall_DoH_IP, TheGreatWall_DoH_IP6.
Имейте ввиду, что IP DoH содержат IP адреса ряда публичных DNS серверов Google, Quad9 и Cloudflare.
Ещё есть Public DNS фиды, но пользоваться ими надо с осторожностью, могут содержать false-positive адреса.
Такое бы для RouterOS, понятно, что такой функционал есть, но готовые скрипты и ссылки не будут лишними
Конечно:
https://stopad.cgood.ru
Спасибо за продолжение )
Как альтернатива - Adguard Home https://github.com/AdguardTeam/AdguardHome
Можно развернуть прямо на pfsense https://broadbandforum.co/t/205884/
Доп. списки блокировки:
oisd blocklist https://oisd.nl/how2use
StevenBlack https://github.com/StevenBlack/hosts
firebog https://firebog.net/
Energized Protection - block https://github.com/EnergizedProtection/block (использовать тип ADBLOCK FILTER)
Energized Protection - unblock https://github.com/EnergizedProtection/unblock
Идём на Firewall > NAT > Port Forward - Add. И создаём следующее правило
Хорошее дело делаете, популяризируя pfsense, но в оф. доки заглядывайте перед публикацией.
Народ-то дословно будет выполнять то, что вы написали (
Принудительный редирект DNS создается на LAN https://docs.netgate.com/pfsense/en/latest/recipes/dns-redirect.html
И DNS - это и TCP и UDP. Редиректить надо оба протокола.
Поправьте статью.
Ps. Кстати, а умеет ли pfblockerNG сам в DoH? Чтобы провайдер не знал о том, к каким ресурсам идет обращение? Adguard и pi-hole могут.
Pps. У себя в домене и ntp (123 / udp) завернул по аналогии для большего удобства.
Принудительный редирект DNS создается на LAN https://docs.netgate.com/pfsense/en/latest/recipes/dns-redirect.html
И DNS — это и TCP и UDP. Редиректить надо оба протокола.
Опечатался, спасибо что заметили
Исправлено
www.privacyaffairs.com/ip-filtering-pfsense
nguvu.org/pfsense/pfSense-pfblockerng-configuration-guide
На nguvu.org вообще много по настройке pfsense + оф. форум forum.netgate.com/topic/163435/proxmox-ceph-zfs-pfsense-%D0%B8-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D1%87%D0%B0%D1%81%D1%82%D1%8C-2
Значение DNSBL IPs List Action ставим в "Alias Deny".
чем это лучше Deny Both?
и еще заметил, что списки Abuse_urlhaus_30d и Abuse_urlhaus_online, доступные "из коробки", не сказать, что бы полные:
# Abuse_urlhaus_30d
$ curl -s https://urlhaus.abuse.ch/downloads/text_recent/ | wc -l
49237
# Abuse_urlhaus_online
$ curl -s https://urlhaus.abuse.ch/downloads/text_online/ | wc -l
8454
# missing one
$ curl -s https://urlhaus.abuse.ch/downloads/text/ | wc -l
174636
Добавил последний вручную:
С фидами ничего особенного,- они постоянно меняются, появляются новые, перестают работать имеющиеся (сейчас из России не работает Talos фид).
стоит сказать, что эти базы содержат в том числе урли вида https://drive.google.com/uc?export=download&id=1GVnZex... (docs.google.com, sites.google.com), что приводит к блокировке всего гугл диска, и их приходится добавлять в белый список вручную.
pfBlockerNG для домашней сети