IP阻止列表(又名IP黑名单、禁止列表等)功能非常丰富,好的列表IP更多,误报更少。IP阻止列表与多层安全性措施一起使用时被证明是非常有用的。另外,在很多情况下,IP阻止列表实际上可以帮助减少资源利用率和/或登录防火墙。
其中之一的IP阻止列表来自Binary Defense。如上所述,你可以使用许多其他列表,如果需要,甚至可以使用多个列表。如果你点击下面的链接,你会发现它只不过是一个“bad”IP地址列表。banlist.txt文件每5分钟更新一次。
https://www.binarydefense.com/banlist.txt
另外一个列表是firehol_level3,可以从下面的地址进行更新:
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level3.netset
在本示例中,我将使用pfSense防火墙进行配置示例。
创建别名
导航到Firewall -> Aliases,单击“Add”,为别名指定名称,指明描述说明,然后在URL表字段中输入链接。由于最低更新频率只有一天(/ 1),因此我们无法利用更新列表时每隔5分钟的时间范围。
入站/ WAN规则
接下来,转到Firewall -> Rules,选择WAN选项卡,并使用之前配置的别名添加如下图所示的规则。无需选中记录数据包,但是,我会强烈建议你选中它,以便在需要时能轻松地排除故障。
选项设置如下:
Action -> Block
Interface -> WAN
Protocol -> Any
Source -> Single host or alias -> BanList
Log -> <选中>
Description -> <帮助你记住规则的说明>
点击保存并应用后,规则应该与下图的规则类似。此外,确保列表中的规则比其他规则更高,例如VPN、网络服务器的NAT规则等。
出站/LAN规则
如果您只想阻止WAN接口上的入站,那么可以跳过本节。下面设置的这个规则可以阻止你的内部网络(比如你的局域网段)与已知的不良的外部IP地址进行通信。转到Firewall -> Rules,这次选择LAN选项卡。使用您之前配置的别名,添加如下图所示的规则。如果需要在几个内部网段上使用这个阻止列表,可以使用浮动规则,从而不必在每个内部网络上复制它。
选项设置如下:
Action -> Block
Interface -> LAN
Protocol -> Any
Destination -> Single host or alias -> BanList
注意:上面的WAN规则使用源地址,而LAN规则使用目标地址
Log -> <不选>
Description -> <帮助你记住规则的东西>
表
设置完以后,你应该能够将鼠标悬停在防火墙规则中的“BanList”上,并查看它是否具有与其关联的IP地址。查看与别名关联的所有IP地址的另一种方法是转到Diagnostics>Tables,然后从下拉列表中选择“BanList”。
它如何工作和阻止非法IP的?
现在你知道IP地址正在填充别名。但你怎么知道它实际上阻止了某些东西?你只需查看规则已处理的字节数,或者可以查看防火墙日志。例如我的防火墙日志,不到一分钟,浏览WAN接口上的前几个阻止条目,就发现了如下IP。请记住,如果你未记录所有阻止的数据包,则阻止的流量不会显示。
现在回到banlist.txt,我可以在那里找到相同的IP地址,证明拦截成功!
原文地址