Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Ennen kuin lähdet ostamaan yhtään mitään, kannattaa kuitenkin kokeilla riittäisikö nykyinen rauta omiin tarpeisiin. Giganen yhteys kun on aika subjektiivinen asia, riippuen siitä mitä kyseisellä yhteydellä tehdään. :)

Täytyy tuo nykyinen testata, mutta sormet kaipaisi jotain rakenneltavaa/tuunattavaa. Tuskin se kokonaan saturoituu kovin usein, mutta olisihan siihen hyvä olla varautunut? :D
 
Fitlet 2 J3455-prosessorilla toiminut mallikkaasti 1000/100 Mbit/s kuituyhteyden perässä.

Fitlet2 barebonea ei taida tämän mantereen puolelta saada? Tuota Fitlettiä katselin, ideana olisi muutenkin päivittää tuo APU4C4 nopeampaan ja pistää se myyntiin. Eli Fitletin voisi laittaa tilaukseen...
 
Fitlet2 barebonea ei taida tämän mantereen puolelta saada? Tuota Fitlettiä katselin, ideana olisi muutenkin päivittää tuo APU4C4 nopeampaan ja pistää se myyntiin. Eli Fitletin voisi laittaa tilaukseen...
Tilailin suoraan valmistajalta ja nappasin samalla PoE-kortin siihen.
 
Onko Wireguardia vielä mahdollista ottaa käyttöön PFSensessä? Joku kk tarkistin ja ilmeisesti WG on auditointia vailla.
 
Onko Wireguardia vielä mahdollista ottaa käyttöön PFSensessä? Joku kk tarkistin ja ilmeisesti WG on auditointia vailla.
Jos oikein muistan Netgate taitaa olla yksi sen kehittäjistä. Henkilökohtaisesti en suosittele sen käyttöä ennen kuin auditointipuoli on kunnossa. Toki jos haluaa opetella tai leikkiä, miläs siinä.
 
Jos oikein muistan Netgate taitaa olla yksi sen kehittäjistä. Henkilökohtaisesti en suosittele sen käyttöä ennen kuin auditointipuoli on kunnossa. Toki jos haluaa opetella tai leikkiä, miläs siinä.

Jees, en ole ottamassa käyttöön palomuuri-tasolla hetkeen. Jäädään seuraamaan, suorituskyvyssä iso ero OpenVPNään verratessa.
 
Jos haluaa leikkiä pfSense WireGuardilla, niin suosittelen asentamaan OPNSensen. FreeBSD 12.1-RELEASE-p10-HBSD, eli major-versiota isompi Hardened FreeBSD pohjilla. Hyvin samankaltainen, mutta onhan tämän vähän "lelumpi".
Oma operaattorini on höveli, ja jakelee kuituun 5 julkista IP:tä, niin itsellä yhdessä tämä ajossa. Hyvin toimii, ja päivityksiä tulee useammin mitä pfSenseen, mutta ei tämä mikään oikotie onneen ole. Esim. pfBlocker loistaa poissaolollaan ja DNS-blockerin joutuu tekemään todellakin kikkailulla.
Jos nyt tarvitsisi valita, niin ottaisin pfSensen. Itsellä 100/100 kuitu, ja ajossa APU2. pfSense jaksaa täydet IPSecin ja OpenVPN:n kanssa. Kuten myös OPNsensen OpenVPN:n ja WireGuardin kanssa. Ehkä jos nopeutta nostaisi, niin alkaisi näkymään WireGuardin ero. Mutta en ihan täysin vielä ole WG-uskovainen, koska sitä ei olla täysin auditoitu, joka on myös syy miksi se puuttuu pfSensestä.
 
  • Tykkää
Reactions: T0m
Jos haluaa leikkiä pfSense WireGuardilla, niin suosittelen asentamaan OPNSensen. FreeBSD 12.1-RELEASE-p10-HBSD, eli major-versiota isompi Hardened FreeBSD pohjilla. Hyvin samankaltainen, mutta onhan tämän vähän "lelumpi".
Oma operaattorini on höveli, ja jakelee kuituun 5 julkista IP:tä, niin itsellä yhdessä tämä ajossa. Hyvin toimii, ja päivityksiä tulee useammin mitä pfSenseen, mutta ei tämä mikään oikotie onneen ole. Esim. pfBlocker loistaa poissaolollaan ja DNS-blockerin joutuu tekemään todellakin kikkailulla.
Jos nyt tarvitsisi valita, niin ottaisin pfSensen. Itsellä 100/100 kuitu, ja ajossa APU2. pfSense jaksaa täydet IPSecin ja OpenVPN:n kanssa. Kuten myös OPNsensen OpenVPN:n ja WireGuardin kanssa. Ehkä jos nopeutta nostaisi, niin alkaisi näkymään WireGuardin ero. Mutta en ihan täysin vielä ole WG-uskovainen, koska sitä ei olla täysin auditoitu, joka on myös syy miksi se puuttuu pfSensestä.

Onko sulla operaattorina Telia, vai joku muu ku on symmetrinen 100Mbps-liittymä?

Omaan kämpään ainoa symmetristä 100M-liittymää tarjoava on nykyisin just Telia. Elisa tarjos kans vastaavaa oiskohan vuosi kaks sitten, mutta käänsivät sitten yhtäkkiä kelkkansa sen suhteen ja tarjolla on vaan niitä perinteisiä roska upilla olevia liittymiä, esim. nyt käytössä oleva 100/10M-liittymä (hinta tosin onneksi vaan 1€/kk kun taloyhtiösoppari + tarjous).
 
Onko sulla operaattorina Telia, vai joku muu ku on symmetrinen 100Mbps-liittymä?

Omaan kämpään ainoa symmetristä 100M-liittymää tarjoava on nykyisin just Telia. Elisa tarjos kans vastaavaa oiskohan vuosi kaks sitten, mutta käänsivät sitten yhtäkkiä kelkkansa sen suhteen ja tarjolla on vaan niitä perinteisiä roska upilla olevia liittymiä, esim. nyt käytössä oleva 100/10M-liittymä (hinta tosin onneksi vaan 1€/kk kun taloyhtiösoppari + tarjous).

Mulla on täällä Satakunnassa kunnassa toimiva osuuskunta. Tarjoavat oikeastaan kaikkea mitä osaa pyytää.
Tarjolla oli myös 100/30 -liittymä, mutta aikanaan tajusin kysyä, että jos pistettäisiin 100/100 ipv6-tuella. Maksan siis tuosta 100/100 tällä hetkellä €34.90,- /kk (alv 24%), ja en valita. Halvemmalla saa varmasti, mutta on tämä toiminut aivan helvetin hyvin ja luotettavasti. Ja kuitu tulee kotiin sähkökaappiin asti.
 
Hei!

Onko kellään kokemuksia Untangle NG -palomuurista? Kyseisestä palomuurista näyttäisi olevan saatavilla 50$/vuosi kotikäyttäjille suunnattu HomePro-versio.
Ehdin jo lataamaan softan kokeiluversion, mutta vielä ennen lopullista ostopäätöstä tahtoisin kuulla muiden kokemuksia siitä.
 
Hei!

Onko kellään kokemuksia Untangle NG -palomuurista? Kyseisestä palomuurista näyttäisi olevan saatavilla 50$/vuosi kotikäyttäjille suunnattu HomePro-versio.
Ehdin jo lataamaan softan kokeiluversion, mutta vielä ennen lopullista ostopäätöstä tahtoisin kuulla muiden kokemuksia siitä.
Oletko katsonut jo

sekä

?

Varmasti toimiva tuote, jokseenkin itsellä ottaa vastaan tuo kotikäyttäjiltä otettava lisenssimaksu. Omakohtaista kokemusta ei ole.
 
Shuttle DS77u, 8GB, 120GB SSD.
Kokeilin pfSenseä aiemmin, mutta jotenkin Untanglen Web Filter tuntuu helpommalta käyttää kuin pfSensen pfBlocker.
 
Shuttle DS77u, 8GB, 120GB SSD.
Kokeilin pfSenseä aiemmin, mutta jotenkin Untanglen Web Filter tuntuu helpommalta käyttää kuin pfSensen pfBlocker.

Itsellä ollut NG koneessa muistaakseni luokkaa 4v ja mielestäni se voisi olla parempikin... Ei tuo uusin 16 versio tuonut mitään oleellista lisää ... Ja lisäksi tuo laitteiden määrärajoitus on aika pieni.

Miksi et ota Sophoksen UTM tai XG muuria? Ne on virtuaalisena täysin ilmaisia kotikäyttöön ja ilmaisen lisenssin rajoituksena vain rauta joka ei tule vastaan kotikäyttäjällä.

Itsellä myös siis edellisten pfsensen, untanglen ja Sophosten lisäksi Fortigaten virtuaaliversio (kaupallinen versio "kokeilukäytössä"), OPNsense ja varatienä vielä Ubiquiti.
Edit: Unohtui tuo Ciscon ASA-sarjan laitemuuri. Se siis myös varatienä.
Kaikki (pl. ubi) siis NAS:n virtuaalikoneissa ja liikenne ohjattu fyysisistä porteista virtuaalikytkimellä erillisiin verkkoihin.

Empiirisen kokemuksen ja testien perusteella minun valinta on ollut ja on Sophos XG jos ilmaista haluaa. Forti on kinkkinen koska se maksaa TODELLA PALJON vaikka hoidan asiat suoraan jenkkien kanssa ja jokainen pikku kilke maksaa lisää. Jopa >7pv logista vinkuisivat periaatteessa lisähintaa!!

Jenkkien untanglen hinnoittelu on oma tarinansa ja juttelin pitkään pari vuotta sitten niiden jenkkityyppien kanssa tästä (olisin ottanut pidempään testiin/käyttöön yhteen isompaan caseen) niin tuntui olevan todella nihkeää touhua, vaikka mahdolisuus olisi ollut päästä isompiinkin piireihin sitä kautta. Ei tullut sinne untanglea hinnoittelun täydellisen joustamattomuuden takia.

Eli suosittelen edelleen Sophos XG:tä. UTM alkaa olla jotenkin GUI:lta aikansa elänyt vai onko sitten XG:n kanssa toimiminen vaan "vieraannuttanut" UTM:stä.

pfSense voisi olla ihan hyvä mutta se tarvitsisi mielestäni ehdottomasti täydellisen GUI:n uusinnan/modernisoinnin ja se lisäpalikka-/valikkoviidakko on todella ikävä.
 
Kertoo aika karua kieltä, että miksi missään IoT tai kotireititin jutussa ei panosteta tietoturvaan yhtään. Kun 50e/vuosi on liikaa! :facepalm: Itse käytän OPNsenseä ja pistän joka vuosi 50e niille ja toiset 50e HardenedBSD:lle. Ei näiden tekeminen ilmaista ole. Itse jopa toivon, että nämä menisi maksullisuuden suuntaan niin saataisiin lisää resursseja kehitykseen.
 
Kertoo aika karua kieltä, että miksi missään IoT tai kotireititin jutussa ei panosteta tietoturvaan yhtään. Kun 50e/vuosi on liikaa! :facepalm: Itse käytän OPNsenseä ja pistän joka vuosi 50e niille ja toiset 50e HardenedBSD:lle. Ei näiden tekeminen ilmaista ole. Itse jopa toivon, että nämä menisi maksullisuuden suuntaan niin saataisiin lisää resursseja kehitykseen.

Kotikäyttäjät viis'kymppisine on niille peanuts. Pisara meressä. Lähinnä symbolinen.

Yritykset on ne mistä rahat tulee jos tulee. Ja, hassua kyllä, parhaimmat leadit yritysten päättäjäportaisiin tulee henkilökohtaisten kokemusten kautta. Nallen sanoja mukaillen voisi sanoa että pienasiakkaat vain kuormittaa helpdeskiä. Pienasiakkaita ei ikinä saa kustannusvastaavaksi. Eikä 1000 maksavaa pienasiakasta käytännössä oikeasti lisää resursseja ellei ole todella nitze tuote tai niin pieni firma että se pyörii harrastelijavoimalla. Toki jos haluaa harrastusta tukea niin tilanne on ilmanmuuta toinen.

Mutta, toki se pakottaa tekemään ymmärrettävämpiä ratkaisuja eli pienasiakkaat tuo leadeja ja pakottaa softia paremmin hallittavammaksi.

Ihmismieli on siitä hassu että vaikka hinta olisi euron niin silti on suuri kynnys ilmainen vs. euron. Parempi olisi jos mentäisiin siihen suuntaan että perusominaisuudet joita normijamppa tarvitsee olisi ilmaisia ja yrityskäytön ominaisuudet maksullisia. Se olisi järkevää liiketoimintaa. Silloin perusjampat oppii käyttämään (ja käyttämällä/palautetta antamalla samalla kehittää) softaa ja sitten kun ne menee työpaikalle niin yleensä suositellaan sitä minkä hyvin osaa ja "mitä itsekin käyttää/käyttäisi". Hassua kyllä päätöksenteko ei yleensä ole rationaalista vaan perustuu moniin muihin muuttujiin. Fiilikseltä tai muilla epärationaalisilla perusteilla ostetaan hämmästyttävän/uskomattoman suuri osuus tuotteista yritysmaailmassa. Erityisesti kun ostaja on "asiantuntija" ja muille riittää että systeemi pelaa (=taustajärjestelmät).
 
Pistin uuden raudan PFSenselle tilaukseen:

HP ProDesk 400 G3 SFF i5-6500/4/120SSD/WIN10P | Grenius

Nyt on ainakin riittävästi tehoa gigaiselle kuidulle VPN-käyttöön. Pitää vielä etsiä dual tai quad lowkey verkkokortti Intelin piirilla, eihän täällä kenelläkään satu lojumaan ylimääräisenä?


Itsellä tuollainen ollut Lenovon vastaavassa vanhemmassa purkissa vuosia ongelmitta, tuossa tulee mukena tuo matalan profiilin takalevy kanssa.

Laitas sitten kokemuksia tuosta ProDeskistä kun saapuu, varsin mielenkiintoinen kapistus tuohon hintaan. Jos tuon saa helposti äänettömäksi tai lähelle sitä niin täytynee itsekin harkita tuollaista.
 

Itsellä tuollainen ollut Lenovon vastaavassa vanhemmassa purkissa vuosia ongelmitta, tuossa tulee mukena tuo matalan profiilin takalevy kanssa.

Laitas sitten kokemuksia tuosta ProDeskistä kun saapuu, varsin mielenkiintoinen kapistus tuohon hintaan. Jos tuon saa helposti äänettömäksi tai lähelle sitä niin täytynee itsekin harkita tuollaista.

Ok, pitääpä tutkia tuo linkki. Varsin hyvään hintaan lähti tuo Prodesk, muutama Ebayssa löytyy samoilla hinnoilla. Tarkoitus on parantaa jäähdytystä, siiliä vaihtamalla tai jollain muulla tavoin, mahdollisesti passiiviseksi asti. Tosin laitetila, jossa kaikki koneet on, on 15-17C välissä. Huutelen tänne kun saapuu ja saan tulille.
 
Itsellä on (Lawrence Systemsin suosituksesta) ajossa:
Ja on toiminut todella hyvin. Näitä saa kanssa halvalla, ja tässä on virallinen tuki BSD:ssä traffic shapingille. Ja tietysti neljä porttia.
 
Mulla on proxmox "leluna" HP ProDesk 600 G1 SFF siinä tuo intel kortti ei toimi pcix16 väylässä, pitäis varmaan koittaa teipata x4 > x1 (hurjimmat on sahanneet)
 
Noita I350-kortteja löytyy paljon väärennettyjä versioita, joten niiden kanssa kannattaa olla tarkkana mitä on ostamassa.


Oliko se tässä ketjussa lista mitä kannattaa valita listoiksi pfSensen pfBlockerNG:hen?
 
Oliko se tässä ketjussa lista mitä kannattaa valita listoiksi pfSensen pfBlockerNG:hen?
Osa ei toimi enään.
 
Osa ei toimi enään.

Juu näin muistelinkin. Pitää siivoilla niitä pois sitä mukaa kun tulee vastaan. Ja kiitos tuosta linkistä! Ite en löytäny tuota viestiä millään...
 
Onko kellään käytössä yhdistelmää pfSense 2.4.5-RELEASE-p1 + OpenVPN + FreeRADIUS3 0.15.7_20 + Google Authenticator OTP?

Yritän saada tuota yhdistelmää käyttöön kun se on aikaisemminkin ollu käytössä ongelmitta, mutta nytten autentikointi feilaa sama mitä tekee.

RADIUS autentikointi pelaa ongelmitta pelkän salasanan kanssa, toi keleen One-Time Password ei vaan suostu yhteistyöhön.

Mitä oon yrittänyt tähän mennessä:
  • Kellonaika oli alussa tunnin verran jäljessä, jonka korjasin ensin suoraan pfSensestä käsin asettamalla aikavyöhykkeeksi uudestaan "Europe/Helsinki"
  • Muutin kellonajan myös BIOS:ista käsin
  • Luotu käyttäjätili uudestaan
  • Luotu "Init-Secret" uudestaan useampaan kertaan
  • Vaihdettu PIN-koodi toiseen
 
Onko kellään käytössä yhdistelmää pfSense 2.4.5-RELEASE-p1 + OpenVPN + FreeRADIUS3 0.15.7_20 + Google Authenticator OTP?

Yritän saada tuota yhdistelmää käyttöön kun se on aikaisemminkin ollu käytössä ongelmitta, mutta nytten autentikointi feilaa sama mitä tekee.

RADIUS autentikointi pelaa ongelmitta pelkän salasanan kanssa, toi keleen One-Time Password ei vaan suostu yhteistyöhön.

Mitä oon yrittänyt tähän mennessä:
  • Kellonaika oli alussa tunnin verran jäljessä, jonka korjasin ensin suoraan pfSensestä käsin asettamalla aikavyöhykkeeksi uudestaan "Europe/Helsinki"
  • Muutin kellonajan myös BIOS:ista käsin
  • Luotu käyttäjätili uudestaan
  • Luotu "Init-Secret" uudestaan useampaan kertaan
  • Vaihdettu PIN-koodi toiseen
Ei ole käytössä. Mitä se herjaa? Joku kello ongelma?

 
Viimeksi muokattu:
Ei ole käytössä. Mitä se herjaa? Joku kello ongelma?


Esim. pfSensen oma autentikaatio testi (Diagnostics/Authentication) ilmoittaa vaan:
Koodi:
The following input errors were detected:

    Authentication failed.

Aika on synkassa, mutta jostain syystä se ei suostu toimimaan...

[edit] Nyt löysin logeista tällästä tuon epäonnistuneen autentikoinnin jälkeen:
Koodi:
(0) Login incorrect (Failed retrieving values required to evaluate condition): [testi] (from client tomaatti port 0)
 
Tietoa pian ilmestyvästä pfBlockerNG 3.0:sta:

As a follow up to the June update:
https://www.patreon.com/posts/38627938

pfBlockerNG v3.0 will finally be released to the pfSense devs for review and available for installation once that review has been completed.
The new DNSBL python integration will now log all permitted DNS requests along with many other features. Full features and a change log will be posted in the next few days.
The issues with Unbound and the new python mod integration have been addressed by the Unbound devs, but unfortunately those Unbound fixes will only be available for pfSense 2.5.x users (Unbound version 1.12.0).

For pfSense 2.4.5 users, the DNSBL python integration still functions as designed but will not be able to collect the IP address of the device that makes the DNS request (DNS Reply not DNSBL Blocking) and will report it in the logs as "Unknown".

I have exhausted all efforts to try to get a workaround for pfSense 2.4.x users, but to no avail.
Thank you for your patience! and Thanks for your continued support! Its very appreciated!

BBcan177



pfBlockerNG-devel v3.0.0
CHANGELOG:
  • DNSBL - Python Mode Integration
  • TOP1M - Add Tranco as the default TOP1M Whitelist [ A research-oriented top sites ranking hardened against manipulation - Tranco ]
  • DNSBL VIP Type = CARP (High Availability Sync) improvements
  • XMLRPC Sync Tab - Remove the CARP HA Skew from being sync'd
  • Add Localhost at the default DNSBL Listening interface (Suggest all existing users use change to this interface)
  • DNSBL Web Server is now bound to localhost instead of 0.0.0.0
  • Widget - Packet counters are more accurate, however, the Clear counter option will now clear all pfSense counters.
  • Widget - Tooltip Improvements
  • Widget - Add IDN/Regex/TLD Allow entries
  • DNSBL SQLite statistic databases are now located in the /var/unbound folder
  • DNSBL IPv6 blocking
  • Wizard - Add IPv6 checkbox
  • Wizard - Add DNSBL Whitelist checkbox to allow users to disable the default DNSBL Whitelist.
  • Alerts/Reports tab - Timeline Bar graph charts (via d3Pie)
  • Alerts/Reports tab - Pause Icon added to halt the page refresh on each table.
  • Alerts/Reports tab - Several new Settings to refine the Reports page output
  • Alerts/Reports tab - Page refresh timer now starts after page has been fully loaded.
  • Alerts/Reports tab - Add port lookup tool
  • DNSBL Block page - Screen resolution improvements for device screen sizes
  • ASN - Database updated
  • DNSBL TLD database updated
  • Add the DNSBL SafeSearch menu option to the User Privileges page
  • CURL - Download speed improvements (CURLOPT_TCP_FASTOPEN, CURLOPT_TCP_NODELAY)
  • DNSBL Web Server certificate improvements (by PiBa)
  • DNSBL Restore Resolver DNS cache option on Cron/Force Update/Force Reloads
  • DNSBL improvements to the Stop and Start of Unbound
  • DNSBL Null Blocking mode with or without logging
  • Add Threat Page lookups - GreyNoise, Shodan and Stop Forum Spam
  • Improvement to pfblockerng.log messages
  • Feeds added/removed/edit
  • Several improvements to the Alerts/Reports Tab
  • Several other under-the-hood improvements

CAUTIONS:
  1. The DNS Resolver (Unbound) DHCP Registration option is not compatible with DNSBL Python mode. The pfSense devs are aware and changes are required to be made to the dhcpleases binary to stop/start Unbound instead of sending a SIGHUP. The use of this option and the Unbound Python mode will cause an Unbound crash.
If DHCP Registration is enabled in Unbound Python mode, or DHCP Registration enabled after Unbound Python mode is enabled, Unbound Python mode will be downgraded to Unbound mode to prevent Unbound from crashing.
  1. The DNS Resolver Unbound "Views" feaure it not currently compatable with DNSBL Python mode.



 
Viimeksi muokattu:
Käyttääkö täällä joku itsetehtyä palomuuria/reititintä? Onko suosituksia jos haluaisi itse opettelumielessä tehdä oman palomuurinsa?

Lähinnä sitä, mitä välttää, mitkä yleisimmät sudenkuopat, linux, freebsd vai openbsd jne.

Mitä olen asiaa tutkinut, suoraa dokumentaatiota ei ole tullut pikaselauksella vastaan kuin openbsd:ltä. OpenBSD PF: Building a Router Tämän vaihtoehdon puolesta puhuisi myös se, että työkalut on jo tärkeimmät osa tarkasti auditoitua perusasennusta ja muutenkin foliohattu on kireällä jo alkuun, mikä nyt olisi palomuurissa itselleni aika tärkeää. Varmaan linuxillekin (tai freebsd:lle) voisi tehdä kaiken saman, mutta vaikuttaa, että siinä joutuisi itse tekemään enemmän töitä ja ottamaan selvää mikä nyt olisi näin alkuun ehkä vähän turhan iso pala kakkua
 
Heitänpä tänne tällaisen kysymyksen vaikka meneekin pikkaisen ohi aiheen. Mitä mieltä olette esim. kun tekee vpn käyttäjiä, niin onko jokaiselle käyttäjälle hyvä olla oma sertifikaatti vai onko tarpeeksi tietoturvallista käyttää vain yhtä? Mikä on se ns. best practice tässä tapauksessa, jos esim. pfsense:ssä käyttää openVPN kombolla SSL/TSL+user auth.

Toinen mikä tulee aina mieleen, että onko joku tutustunut, että viekö tuollainen VPN serveri paljon potkua noin yleisellä tasolla? Tämä kysymys juontaa siitä, että kuinka monta VPN serveriä noin periaatteessa yhdellä purkilla voisi pyörittää jos tuollaisesta kuvioista voisi ylipäätänsäkkään olla mitään hyötyä?
 
Heitänpä tänne tällaisen kysymyksen vaikka meneekin pikkaisen ohi aiheen. Mitä mieltä olette esim. kun tekee vpn käyttäjiä, niin onko jokaiselle käyttäjälle hyvä olla oma sertifikaatti vai onko tarpeeksi tietoturvallista käyttää vain yhtä? Mikä on se ns. best practice tässä tapauksessa, jos esim. pfsense:ssä käyttää openVPN kombolla SSL/TSL+user auth.

Toinen mikä tulee aina mieleen, että onko joku tutustunut, että viekö tuollainen VPN serveri paljon potkua noin yleisellä tasolla? Tämä kysymys juontaa siitä, että kuinka monta VPN serveriä noin periaatteessa yhdellä purkilla voisi pyörittää jos tuollaisesta kuvioista voisi ylipäätänsäkkään olla mitään hyötyä?

Jos käytät yhtä certtiä, niin itsellä tuli ongelmia kun yritin olla samaan aikaan yhteydessä kännykällä ja tietokoneella omaan pfSensen OpenVPN-servuun. Sen takia nyt on oma tunnus + certti luurille ja tietokoneelle.

[edit] Ja certin luomiseen menee varmaan kokonaiset 10sek ku näpyttelee ne pari tarvittavaa tietoa kohdilleen ja luo sen, niin eipä niiden kanssa kannata pihtaillakaan IMHO :)
 
Jos käytät yhtä certtiä, niin itsellä tuli ongelmia kun yritin olla samaan aikaan yhteydessä kännykällä ja tietokoneella omaan pfSensen OpenVPN-servuun. Sen takia nyt on oma tunnus + certti luurille ja tietokoneelle.

[edit] Ja certin luomiseen menee varmaan kokonaiset 10sek ku näpyttelee ne pari tarvittavaa tietoa kohdilleen ja luo sen, niin eipä niiden kanssa kannata pihtaillakaan IMHO :)
Juu, ei noiden luonnissa kauaa mene. Pysähdyin nyt vastan miettimään tuota vaikka eihän tuolla kotiympäristössä niin paljon väliä ole, kun on vain 2 käyttäjää, mutta noin yleisellä tasolla (yrityksissä esim).

Sen verran olen kokeillut samaa käyttäjää+certiä käyttää eri laitteilla samanaikaisesti, kun testailin, että saa eri ip osoitteet, niin tuolla nopealla kokeilulla en havainnut ongelmia. Ei tosin kerro vielä mistään, etteikö ongelmia olisi ollut tai tullut.
 
Juu, ei noiden luonnissa kauaa mene. Pysähdyin nyt vastan miettimään tuota vaikka eihän tuolla kotiympäristössä niin paljon väliä ole, kun on vain 2 käyttäjää, mutta noin yleisellä tasolla (yrityksissä esim).

Sen verran olen kokeillut samaa käyttäjää+certiä käyttää eri laitteilla samanaikaisesti, kun testailin, että saa eri ip osoitteet, niin tuolla nopealla kokeilulla en havainnut ongelmia. Ei tosin kerro vielä mistään, etteikö ongelmia olisi ollut tai tullut.

Joo, mulla saatto olla myös asetuksissa vikaa kun se ei suostunu pitämään kahta yhteyttä päällä eri julkisista ip-osoitteista, eli siis niin että luuri oli omalla nettiyhteydellä+ip:llä ja pc omalla. OpenVPN antoi kyllä auliaasti jakoi omat IP:t molemmille ja yhteys toimi vähänaikaa muutamasta sekunnista pariin minuuttiin, ennenkuin toinen yhteys katkesi.
 
Tietoa pian ilmestyvästä pfBlockerNG 3.0:sta:
Täytyy antaa tuolle taas mahdollisuus. Aina sen v2:n on joutunut disabloimaan, ei vähiten Unbound-ongelmien takia. Nythän niistä oikein varoitellaan etukäteen.
Nyt ei ole Unboundilla paljoa hommia kun DNS:n hoitaa pi-hole + DNSCrypt, joten ehkä se toimii muutenkin paremmin.
 
Tietoa pian ilmestyvästä pfBlockerNG 3.0:sta:



pfBlockerNG-devel v3.0.0
CHANGELOG:
  • DNSBL - Python Mode Integration
  • TOP1M - Add Tranco as the default TOP1M Whitelist [ A research-oriented top sites ranking hardened against manipulation - Tranco ]
  • DNSBL VIP Type = CARP (High Availability Sync) improvements
  • XMLRPC Sync Tab - Remove the CARP HA Skew from being sync'd
  • Add Localhost at the default DNSBL Listening interface (Suggest all existing users use change to this interface)
  • DNSBL Web Server is now bound to localhost instead of 0.0.0.0
  • Widget - Packet counters are more accurate, however, the Clear counter option will now clear all pfSense counters.
  • Widget - Tooltip Improvements
  • Widget - Add IDN/Regex/TLD Allow entries
  • DNSBL SQLite statistic databases are now located in the /var/unbound folder
  • DNSBL IPv6 blocking
  • Wizard - Add IPv6 checkbox
  • Wizard - Add DNSBL Whitelist checkbox to allow users to disable the default DNSBL Whitelist.
  • Alerts/Reports tab - Timeline Bar graph charts (via d3Pie)
  • Alerts/Reports tab - Pause Icon added to halt the page refresh on each table.
  • Alerts/Reports tab - Several new Settings to refine the Reports page output
  • Alerts/Reports tab - Page refresh timer now starts after page has been fully loaded.
  • Alerts/Reports tab - Add port lookup tool
  • DNSBL Block page - Screen resolution improvements for device screen sizes
  • ASN - Database updated
  • DNSBL TLD database updated
  • Add the DNSBL SafeSearch menu option to the User Privileges page
  • CURL - Download speed improvements (CURLOPT_TCP_FASTOPEN, CURLOPT_TCP_NODELAY)
  • DNSBL Web Server certificate improvements (by PiBa)
  • DNSBL Restore Resolver DNS cache option on Cron/Force Update/Force Reloads
  • DNSBL improvements to the Stop and Start of Unbound
  • DNSBL Null Blocking mode with or without logging
  • Add Threat Page lookups - GreyNoise, Shodan and Stop Forum Spam
  • Improvement to pfblockerng.log messages
  • Feeds added/removed/edit
  • Several improvements to the Alerts/Reports Tab
  • Several other under-the-hood improvements

CAUTIONS:
  1. The DNS Resolver (Unbound) DHCP Registration option is not compatible with DNSBL Python mode. The pfSense devs are aware and changes are required to be made to the dhcpleases binary to stop/start Unbound instead of sending a SIGHUP. The use of this option and the Unbound Python mode will cause an Unbound crash.
If DHCP Registration is enabled in Unbound Python mode, or DHCP Registration enabled after Unbound Python mode is enabled, Unbound Python mode will be downgraded to Unbound mode to prevent Unbound from crashing.
  1. The DNS Resolver Unbound "Views" feaure it not currently compatable with DNSBL Python mode.




Ilmestyi tuo 3.0.1. Oma pfSense meni totaalisen jumiin. Palautin configin niin näyttää toimivan.
 
Ilmestyi tuo 3.0.1. Oma pfSense meni totaalisen jumiin. Palautin configin niin näyttää toimivan.
Web UI? Reitittikö? Pingasiko? SSH? Teitkö Restart webConfigurator ja Restart PHP-FPM? Boottasitko ja jatkuiko ongelma?
Unboundin kanssa oli kai dokumentoituja yhteensopivuusongelmia tiedossa
 
Web UI? Reitittikö? Pingasiko? SSH? Teitkö Restart webConfigurator ja Restart PHP-FPM? Boottasitko ja jatkuiko ongelma?
Unboundin kanssa oli kai dokumentoituja yhteensopivuusongelmia tiedossa
Tuo unbound service jäi alas ja en saanut sitä ylös. Buuttasin useasti niin ei apua. Hallintasivu toimi tosi hitaasti. Palautin tuon configin niin lähti toimimaan.

Edit: En ole varma mutta tuon mun sähläämisen aikana tuo saattoi päivittyä 3.0.0 —> 3.0.1.
 
Mites muilla toimii tuo uusi pfBlockerNG? Oli sen verran pitkä työpäivä takana, että taidan suosiolla katsoa tätä huomenna tai ylihuomenna. :)
 
Otin riskin ja päivitin uusimpaan v3.0.0.1:een.

Tässä on Python Regex Lista jos joku haluaa testailla:

Koodi:
^(.+[-_.])??adse?rv(er?|ice)?s?[0-9]*[-.]
^(.+[-_.])??m?ad[sxv]?[0-9]*[-_.]
^(.+[-_.])??telemetry[-.]
^(.+[-_.])??xn--
^adim(age|g)s?[0-9]*[-_.]
^adtrack(er|ing)?[0-9]*[-.]
^advert(s|is(ing|ements?))?[0-9]*[-_.]
^aff(iliat(es?|ion))?[-.]
^analytics?[-.]
^banners?[-.]
^beacons?[0-9]*[-.]
^count(ers?)?[0-9]*[-.]
^pixels?[-.]
^stat(s|istics)?[0-9]*[-.]
^track(ers?|ing)?[0-9]*[-.]
^traff(ic)?[-.]
google-{0,}(analytic|syndication|(ad[a-z0-9]*|tag)-{0,}service)[s]\.[a-z]{2,7}$
google-{0,}(analytics{0,}|(ad|tag)manager)\.[a-z]{2,7}$
double-{0,}clic(k|k[.]*by-{0,}google)\.[a-z]{2,7}$
(google|partner|pub)-{0,}ads{0,}-{0,}(apis{0,})\.[a-z]{2,7}$
(^|\.)facebook\.[A-Za-z0-9]+$
(^|\.)fb\.[A-Za-z0-9]+$
(^|\.)fbcdn\.[A-Za-z0-9]+$
(^|\.)fbsbx\.com$
(^|\.)fbsbx\.com\.online-metrix\.net$
(^|\.)m\.me$
(^|\.)messenger\.com$
(^|\.)tfbnw\.net$
(^|\.)instagram\.com$
(^|\.)whatsapp\.com$
^(.+\.)?amp\..+\.com$
^(.+\.)?ampproject\.org$
^(.+\.)?amp\.cloudflare\.com$
^(.+\.)?cdn\.ampproject\.org$
(.*\.|^)((think)?with)?google($|((adservices|apis|mail|static|syndication|tagmanager|tagservices|usercontent|zip|-analytics)($|\..+)))
([A-Za-z0-9.-]*\.)?clicks\.beap\.bc\.yahoo\.com/
([A-Za-z0-9.-]*\.)?secure\.footprint\.net/
([A-Za-z0-9.-]*\.)?match\.com/
([A-Za-z0-9.-]*\.)?clicks\.beap\.bc\.yahoo(\.\w{2}\.\w{2}|\.\w{2 ,4})/
([A-Za-z0-9.-]*\.)?sitescout(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?appnexus(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?evidon(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?mediamath(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?scorecardresearch(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?doubleclick(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?flashtalking(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?turn(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?mathtag(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?googlesyndication(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?s\.yimg\.com/cv/ae/us/audience/
([A-Za-z0-9.-]*\.)?clicks\.beap/
([A-Za-z0-9.-]*\.)?.doubleclick(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?yieldmanager(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?w55c(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?adnxs(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?advertising\.com/
([A-Za-z0-9.-]*\.)?evidon\.com/
([A-Za-z0-9.-]*\.)?scorecardresearch\.com/
([A-Za-z0-9.-]*\.)?flashtalking\.com/
([A-Za-z0-9.-]*\.)?turn\.com/
([A-Za-z0-9.-]*\.)?mathtag\.com/
([A-Za-z0-9.-]*\.)?surveylink/
([A-Za-z0-9.-]*\.)?info\.yahoo\.com/
([A-Za-z0-9.-]*\.)?ads\.yahoo\.com/
([A-Za-z0-9.-]*\.)?global\.ard\.yahoo\.com/
(^|\.)lgsmartad\.com$
ngfts.lge.com
lgtvonline.lge.com
(^|\.)buffpanel\.com$
(^|\.)bugsnag\.com$
(^|\.)redshell\.io$
(^|\.)treasuredata\.com$
(^|\.)unity(|3d)\.com$
(^|\.)unityads(|\.co)\.com$

Kyseisen toiminnallisuuden tavoite on päästä eroon perinteisistä .txt-listoista. Niissä on usein päällekkäisiä asioita ja samoin niiden ylläpitäminen on turhan työlästä. Python Regex Lista-yrittää paikallistaa avainsanat yms asiat riippumatta siitä mistä domainista sattuu olemaan kyse. Overview - Pi-hole documentation (pi-hole.net)

Tässä lienee PiHolen oma regex-lista: pihole-regex/regex.list at master · mmotti/pihole-regex · GitHub

Laitan joitakin vinkkejä tänne heti kun ehdin tutustua aiheeseen.
 
Otin riskin ja päivitin uusimpaan v3.0.0.1:een.

Tässä on Python Regex Lista jos joku haluaa testailla:

Koodi:
^(.+[-_.])??adse?rv(er?|ice)?s?[0-9]*[-.]
^(.+[-_.])??m?ad[sxv]?[0-9]*[-_.]
^(.+[-_.])??telemetry[-.]
^(.+[-_.])??xn--
^adim(age|g)s?[0-9]*[-_.]
^adtrack(er|ing)?[0-9]*[-.]
^advert(s|is(ing|ements?))?[0-9]*[-_.]
^aff(iliat(es?|ion))?[-.]
^analytics?[-.]
^banners?[-.]
^beacons?[0-9]*[-.]
^count(ers?)?[0-9]*[-.]
^pixels?[-.]
^stat(s|istics)?[0-9]*[-.]
^track(ers?|ing)?[0-9]*[-.]
^traff(ic)?[-.]
google-{0,}(analytic|syndication|(ad[a-z0-9]*|tag)-{0,}service)[s]\.[a-z]{2,7}$
google-{0,}(analytics{0,}|(ad|tag)manager)\.[a-z]{2,7}$
double-{0,}clic(k|k[.]*by-{0,}google)\.[a-z]{2,7}$
(google|partner|pub)-{0,}ads{0,}-{0,}(apis{0,})\.[a-z]{2,7}$
(^|\.)facebook\.[A-Za-z0-9]+$
(^|\.)fb\.[A-Za-z0-9]+$
(^|\.)fbcdn\.[A-Za-z0-9]+$
(^|\.)fbsbx\.com$
(^|\.)fbsbx\.com\.online-metrix\.net$
(^|\.)m\.me$
(^|\.)messenger\.com$
(^|\.)tfbnw\.net$
(^|\.)instagram\.com$
(^|\.)whatsapp\.com$
^(.+\.)?amp\..+\.com$
^(.+\.)?ampproject\.org$
^(.+\.)?amp\.cloudflare\.com$
^(.+\.)?cdn\.ampproject\.org$
(.*\.|^)((think)?with)?google($|((adservices|apis|mail|static|syndication|tagmanager|tagservices|usercontent|zip|-analytics)($|\..+)))
([A-Za-z0-9.-]*\.)?clicks\.beap\.bc\.yahoo\.com/
([A-Za-z0-9.-]*\.)?secure\.footprint\.net/
([A-Za-z0-9.-]*\.)?match\.com/
([A-Za-z0-9.-]*\.)?clicks\.beap\.bc\.yahoo(\.\w{2}\.\w{2}|\.\w{2 ,4})/
([A-Za-z0-9.-]*\.)?sitescout(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?appnexus(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?evidon(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?mediamath(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?scorecardresearch(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?doubleclick(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?flashtalking(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?turn(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?mathtag(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?googlesyndication(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?s\.yimg\.com/cv/ae/us/audience/
([A-Za-z0-9.-]*\.)?clicks\.beap/
([A-Za-z0-9.-]*\.)?.doubleclick(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?yieldmanager(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?w55c(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?adnxs(\.\w{2}\.\w{2}|\.\w{2,4})/
([A-Za-z0-9.-]*\.)?advertising\.com/
([A-Za-z0-9.-]*\.)?evidon\.com/
([A-Za-z0-9.-]*\.)?scorecardresearch\.com/
([A-Za-z0-9.-]*\.)?flashtalking\.com/
([A-Za-z0-9.-]*\.)?turn\.com/
([A-Za-z0-9.-]*\.)?mathtag\.com/
([A-Za-z0-9.-]*\.)?surveylink/
([A-Za-z0-9.-]*\.)?info\.yahoo\.com/
([A-Za-z0-9.-]*\.)?ads\.yahoo\.com/
([A-Za-z0-9.-]*\.)?global\.ard\.yahoo\.com/
(^|\.)lgsmartad\.com$
ngfts.lge.com
lgtvonline.lge.com
(^|\.)buffpanel\.com$
(^|\.)bugsnag\.com$
(^|\.)redshell\.io$
(^|\.)treasuredata\.com$
(^|\.)unity(|3d)\.com$
(^|\.)unityads(|\.co)\.com$

Kyseisen toiminnallisuuden tavoite on päästä eroon perinteisistä .txt-listoista. Niissä on usein päällekkäisiä asioita ja samoin niiden ylläpitäminen on turhan työlästä. Python Regex Lista-yrittää paikallistaa avainsanat yms asiat riippumatta siitä mistä domainista sattuu olemaan kyse. Overview - Pi-hole documentation (pi-hole.net)

Tässä lienee PiHolen oma regex-lista: pihole-regex/regex.list at master · mmotti/pihole-regex · GitHub

Laitan joitakin vinkkejä tänne heti kun ehdin tutustua aiheeseen.

Regexin käyttö kyllä tulee helpottamaan blokkausta jatkossa. Pitää laittaa testiin.


Tämä kone on kasassa, päivitin RAMin neljästä kahdeksaan, asensin PFSensen zfs-mirroriin ja huomenna tulee quad gigabit-kortti. Nythän tuohon voisi päästää suoraan uusimman version. Symmetrinen gigan kuitu kytketään kuulemma jouluun mennessä toimintaan, alkaa olemaan periferian yhteydet ja palomuuri-asiat mallillaan.
 
Vaikka tähän piti palata joskus myöhemmin, kiireiden ohella tässä on pikainen ohjeeni mitä sain kasattua koskien uutta v3.0.0_1 pfBlockerNG:ta

Virallista dokumentaatiota ei ole, koska kehittäjällä ei ole aikaa sen kirjoittamiseen ja ylläpitämiseen. (Kenelläpä olisi? :kahvi:) Tämän takia käytännössä kaikki asiat pitää itse selvittää, testata ja tutkia.

Vaikka tämä ei missään nimessä ole lopullinen ja paras ohje. Tässä on jotain mitä itse sain oivallettua reilun päivän käytön aikana.

- Listoissa on tapahtunut useita muutoksia. Joitakin on tullut lisää ja vastaavasti osa on poistunut ylläpitäjien lopettaessa niiden ylläpitämisen. Mm. Cameleon poistui. Vinkkaamani Mailtrail on taas lisätty. :)

Itse asetukset:

pfBlockerNG:n kehittäjän mukaan Pyhton Module-asetukseen ei pitäisi koskea ja se saisi jäädä oletuksena. Jostain syystä Regex ei toiminut mulla kun otin sen pois päältä (sattui olemaan päällä jostain ajalta). Voitte testata miten tämä toimii teillä.

Services -> DNS Resolver

1606419364575.png


pfBlockerNG:n omat asetukset:

Mainitsen vain ne jotka mielestäni eivät ole oletusasetuksia.

IP-tabin takaa löytyvä palomuuriasetus:

MaxMind GeoIP configuration <- tähän voi lisätä oman lisenssin mikäli käytät GeoIP-blokkausta. Tarkemmat ohjeet löytyvät itse feedin i-kuvakkeen takaa.

Inbound Firewall Rules: WAN

Outbound Firewall Rules: <kaikki patisi WAN>

1606419433060.png

Tämä voi jakaa mielipiteitä, mutta ainakin omassa käytössä tämä on toiminut riittävän hyvin.

DNSBL:

Muistakaa valita "Unbound python mode", mikäli haluatte käyttää Regexiä.

1606419606055.png


Python Regex List:

PiHolen käyttämä Regex-lista.
Koodi:
^ad([sxv]?[0-9]*|system)[_.-]([^.[:space:]]+\.){1,}|[_.-]ad([sxv]?[0-9]*|system)[_.-]
^(.+[_.-])?adse?rv(er?|ice)?s?[0-9]*[_.-]
^(.+[_.-])?telemetry[_.-]
^adim(age|g)s?[0-9]*[_.-]
^adtrack(er|ing)?[0-9]*[_.-]
^advert(s|is(ing|ements?))?[0-9]*[_.-]
^aff(iliat(es?|ion))?[_.-]
^analytics?[_.-]
^banners?[_.-]
^beacons?[0-9]*[_.-]
^count(ers?)?[0-9]*[_.-]
^mads\.
^pixels?[-.]
^stat(s|istics)?[0-9]*[_.-]

Selvisi että Regex-listaa kannattaa pitää mahdollisimman lyhyenä ja ytimekkäänä. Palomuuri käy listan jatkuvasti läpi ja turhan pitkä lista aiheuttaa tarpeetonta kuormaa. Listaa kannattaa hiota vasta sitten kun se on oikeasti puutteellinen.

DNSBL Whitelist:

<Tähän kannattaa listata tarpeen mukaan virastojen, pankkien, Applen, Googlen, Microsoft 365:n yms käyttämät osoitteet>

Tätä kannattaa käyttää false positiveiden ehkäisemiseksi:

1606419833454.png

Päättäkää itse mikä on sopiva TOP-domainien määrä. Mielestäni 1k on vähän siinä ja siinä. :)

Jos käytät Viaplayn Viaplay Free-palvelua, tämän kannattaa lisätä:
1606419905021.png



Jatkuu seuraavassa viestissä....
 
Viimeksi muokattu:
Tämä on tärkeä asetus. Asetus määrittää mitä listojen IP-osoitteille tehdään. Kehittäjän ja minun mielestä paras asetus on "estä lähtevä liikenne". Näin vältytään false positiveilta ja samoin estetään yhteydenotot kyseenalaisiin osoitteisiin mikäli joku tai jotain yrittää yhdistää niihin meidän sisäverkosta.

1606419980538.png


1606420058841.png


ADs:

Cryptojackers:

Malicious:
<- Maltrail on loistava open source projekti. Tästä enemmän joskus tulevaisuudessa.
<- Spam404
https://someonewhocares.org/hosts/hosts (SWC)

Phishing:

EasyList:
<- No Element paremman yhteensopivuuden takaamiseksi
<- Melko turha lista, kiitos väärän formaatin

Malicious2:
<- Toinen Maltrail-lista

Muistakaa asettaa listat aktiivisiksi (state "ON") lisäyksen jälkeen:

1606420280078.png


DNSBL Category:
1606420337381.png


Shallalist: Dating, Drugs, Spyware
UT1: Dating, Malware

(Ei huolta esim. aikuisvihteestä. Suodatetaan sen eri paikassa. :))


Jatkuu seuraavassa viestissä...
 
Viimeksi muokattu:
1606420539397.png


PR1

PR2

PR3

PR4


Alla oleva on kätevä jos käytetään VPN:ää ja meillä on portti auki "koko internetille". Tätä voidaan rajata esim vain suomalaisille IP-osoitteille jos esim mobiilissa on dynaaminen IP käytössä. Ei mikään paras suoja, mutta karsii sen osan koputtelusta pois.

1606420638303.png


Update:

1606420861430.png


Tämänhetkinen tilanne sis päällekkäisten sääntöjen karsimisen, jonka takia osa listoista näyttää muuta kuin omaa kokonnaismäärää.

Koodi:
===[ Deny List IP Counts ]===========================

  145112 total
   69941 /var/db/pfblockerng/deny/DNSBLIP_v4.txt
   37023 /var/db/pfblockerng/deny/Alienvault_v4.txt
   20001 /var/db/pfblockerng/deny/BlockListDE_All_v4.txt
   14310 /var/db/pfblockerng/deny/CINS_army_v4.txt
    2341 /var/db/pfblockerng/deny/ET_Block_v4.txt
     749 /var/db/pfblockerng/deny/BDS_Ban_v4.txt
     725 /var/db/pfblockerng/deny/Talos_BL_v4.txt
      21 /var/db/pfblockerng/deny/Malc0de_v4.txt
       1 /var/db/pfblockerng/deny/MDL_v4.txt

====================[ Empty Lists w/127.1.7.7 ]==================

MDL_v4.txt

===[ DNSBL Domain/IP Counts ] ===================================

  669322 total
  181047 /var/db/pfblockerng/dnsbl/UT1_malware.txt
  145097 /var/db/pfblockerng/dnsbl/UT1_malware_v4.ip
  124839 /var/db/pfblockerng/dnsbl/MailTrail.txt
   89510 /var/db/pfblockerng/dnsbl/CoinBlocker_All.txt
   25071 /var/db/pfblockerng/dnsbl/MDS.txt
   19209 /var/db/pfblockerng/dnsbl/Shallalist_spyware.txt
   18917 /var/db/pfblockerng/dnsbl/SFS_Toxic_BD.txt
   12106 /var/db/pfblockerng/dnsbl/SWC.txt
   11143 /var/db/pfblockerng/dnsbl/EasyList.txt
   11006 /var/db/pfblockerng/dnsbl/Shallalist_drugs.txt
    8400 /var/db/pfblockerng/dnsbl/MVPS.txt
    6996 /var/db/pfblockerng/dnsbl/Spam404.txt
    3224 /var/db/pfblockerng/dnsbl/UT1_dating.txt
    3040 /var/db/pfblockerng/dnsbl/Shallalist_dating.txt
    2538 /var/db/pfblockerng/dnsbl/PhishTank_R.txt
    2501 /var/db/pfblockerng/dnsbl/D_Me_ADs.txt
    1567 /var/db/pfblockerng/dnsbl/OpenPhish.txt
    1335 /var/db/pfblockerng/dnsbl/Shallalist_spyware_v4.ip
     775 /var/db/pfblockerng/dnsbl/Krog_BD.txt
     547 /var/db/pfblockerng/dnsbl/Shallalist_drugs_v4.ip
     192 /var/db/pfblockerng/dnsbl/Magento.txt
     112 /var/db/pfblockerng/dnsbl/Maltrail_Blackbook.txt
      99 /var/db/pfblockerng/dnsbl/PhishTank_R_v4.ip
      34 /var/db/pfblockerng/dnsbl/D_Me_Tracking.txt
      15 /var/db/pfblockerng/dnsbl/OpenPhish_v4.ip
       1 /var/db/pfblockerng/dnsbl/EasyList_v4.ip
       1 /var/db/pfblockerng/dnsbl/D_Me_Malv.txt
       0 /var/db/pfblockerng/dnsbl/NoCoin.txt
       0 /var/db/pfblockerng/dnsbl/MDL.txt
       0 /var/db/pfblockerng/dnsbl/EasyList_Finland.txt

pfSense Table Stats
-------------------
table-entries hard limit  2000000
Table Usage Count         264912


Toimivuutta voidaan testata Alerts-näkymästä:

1606420972536.png


1606421080624.png




Regex ei tule korvaamaan ihan kaikkia listoja, johtujen ongelman mahdottomuudesta. Malware-listoja on mahdotonta korvata, koska domainien nimet voivat käytännössä olla ihan mitä vaan. Regex keskittyy enemmänkin mainosten blokkaamiseen kuin malwaren.

Aikuisviihdettä ei kannata blokata listoilla vaan DNS:lla. Itsellä on CloudFlaren 1.1.1.3 ja 1.0.0.3 käytössä. Se blokkaa malwarea (jotenkuten) ja samalla myös aikuisvihteen.

Quad9 9.9.9.9 on huomattavasti parempi malwaren blokkaamiseen, mutta se on ehkä hivenen hitaampi resolvaamaan Suomesta. Tosin huomaako tätä eroa vai ei, on taas toinen asia. :)



Teen tästä aiheesta jossain vaiheessa videon signusta löytyvällä kanavalla. En siis kosiskele teitä sinne, vaan lähinnä sen takia että asiaa on helpompaa linkata jatkossa. :)
Samalla sisältöä ei tarvitse kaivella ties kuinka pitkän ketjun seasta.
 

Statistiikka

Viestiketjuista
259 047
Viestejä
4 499 957
Jäsenet
74 324
Uusin jäsen
Nallee

Hinta.fi

Back
Ylös Bottom