![](https://habrastorage.org/getpro/habr/upload_files/543/edd/e57/543edde5798bbfe42876f780ee1a44fe.png)
2 марта 2022 года Национальный координационный центр по компьютерным инцидентам (НКЦКИ) выпустил бюллетень со списком рекомендаций для противодействия угрозам безопасности информации. В дополнение к бюллетеню опубликованы списки IP адресов и DNS имён для блокировки. В данной статье будет описано как добавить данные списки в pfSense и настроить фильтрацию. Несмотря на то, что прошло достаточно времени с момента публикации списков, они ещё не потеряли своей актуальности, да и при выходе новых эта статья так же будет полезна. В статье не обсуждаются вопросы импортозамещения pfSense и схожие темы. Описано как настроить тем у кого всё работает, и кто не собирается прямо сейчас менять pfSense на другой файрвол. Подразумевается, что читатели обладают достаточным навыком работы с pfSense.
Фильтрация IP адресов
Читаем 15-й пункт бюллетеня: "Для защиты от DDoS-атак на средствах сетевой защиты информации ограничьте сетевой трафик с IP-адресов, приведенных в файле proxies.txt. Указанные в нем IP-адреса принадлежат прокси-серверам, используемым в DDoS-атаках.".
![](https://habrastorage.org/getpro/habr/upload_files/0cd/e2e/99f/0cde2e99fe52066985edce2bc0f59cc1.png)
Обычный вариант - создаём алиас со списком адресов. Переходим на страницу Firewall / Aliases / URLs и жмём кнопку Add. Выбираем тип URL Table (IPs), называем как вам нравится, копируем https://safe-surf.ru/upload/ALRT/proxies.txt в поле адреса, и выбираем 1 в поле после косой черты (обновление раз в день).
![](https://habrastorage.org/getpro/habr/upload_files/ae2/365/875/ae2365875753ee04e28501dfbf8d4672.png)
Далее создаём блокирующее правило на нашем WAN интерфейсе:
Action: Block
Interface: WAN
Address Family: IPv4
Protocol: Any
Source: Single host or alias - вводим название нашего алиаса
Destination: лучше оставить Any, особенно если файрвол прикрывает хосты с публичными адресами
Log: можно включить на какое-то время, чтобы видеть в логах IP адреса DoSящих
Фильтрация IP адресов с помощью pfBlockerNG
![](https://habrastorage.org/getpro/habr/upload_files/d48/d5f/3bf/d48d5f3bf1e8bb84398d37465febcd75.png)
Подробно про функционал этого пакета было расписано в трёх статьях - pfBlockerNG для домашней сети, Настройка pfBlockerNG на pfSense (часть 1), Настройка pfBlockerNG на pfSense (часть 2). Не будем повторять детальное описание настроек, и перейдём сразу на страницу Firewall / pfBlockerNG / IP / IPv4 и добавим новую группу кнопкой Add:
Name: NKCKI
Format: Auto
State: On
Header/Label: NKCKI
Action: Deny Inbound
Update Frequency: Once a day
Так как мы указали Deny Inbound в качестве Action, pfBlockerNG автоматически разместит запрещающее правило на нашем WAN интерфейсе. Точнее на всех интерфейсах что выделены в Inbound Firewall Rules на странице Firewall / pfBlockerNG / IP:
![](https://habrastorage.org/getpro/habr/upload_files/685/38c/c18/68538cc18dd12a170005b6ce1b456346.png)
Настройка DNSBL списка в pfBlockerNG
Смотрим 15-й пункт бюллетеня: "Для защиты от DDoS-атак на средствах сетевой защиты информации ограничьте сетевой трафик, содержащий в поле Referer HTTP заголовка значения из файла referer_http_header.txt.".
![](https://habrastorage.org/getpro/habr/upload_files/6c6/10f/19a/6c610f19aa728870d15d6a3b7c47b001.png)
Переходим на страницу Firewall / pfBlockerNG / DNSBL / DNSBL Groups и добавляем новую группу нажав на Add:
Name: NKCKI
Format: Auto
State: On
Source: https://safe-surf.ru/upload/ALRT/referer_http_header.txt
Header/Label: NKCKI
Action: Unbound
Update Frequency: Once a day
Нужно отметить, что в списке сайтов присутствует github.com, поэтому если вы не хотите его сами себе заблокировать, добавьте в белый список на странице Firewall / pfBlockerNG / DNSBL в поле DNSBL Whitelist.
Далее не забудьте запустить Update на странице Firewall / pfBlockerNG / Update чтобы изменения вступили в силу.
Дополнительно
Не лишним будет перейти на использование DNS серверов Национальной системы доменных имён (НСДИ) - 195.208.4.1 и 195.208.5.1 (настройка на странице System / General Setup).
Если есть подозрения (а у кого их сейчас нет), что с обновлением может приехать какой-нибудь сюрприз, то отключаем проверку на странице System / Update / Update Settings - галочка Dashboard check, и больше не заходим в Update и Package Manager меню.
Комментарии (14)
vikarti
25.03.2022 05:53+1Это только мне кажется странным что в рекомендациях есть домены .ru?
Почему то еще не разделегированные (уж тут то основания искать не надо — либо закон о фейках (в списки и укроновостные сайты, которые на первый взгляд не делают каких то гадостей(контент там конечно ожидаемый) либо координация DDoS-атак)Ну и — а списочек с IP в формате Mikrotik можно?
silinio Автор
25.03.2022 09:11Удобно использовать скрипты github.com/mihaiv/mikrotik-block-lists
d3vil_st
25.03.2022 15:28Автор скриптов предлагает поставить RCE дыру себе на роутер?
Там в скрипте он закачивает другой скрипт, со своего сервера, и запускает его. Это прям уровень 'curl | bash'
ky0
25.03.2022 08:39+6Прокси заблочьте, выходные ноды Тора заблочьте, впны заблочьте и непременно юзайте наши нешифрованные DNS-серверы. Какой-то список вредных советов просто.
silinio Автор
25.03.2022 09:03Кстати, заблокировать прокси, VPN и узлы Тор можно через тот же pfBlockerNG. В списке фидов есть такие категории. Что нередко применяется когда, к примеру, на pfSense запущен remote access VPN.
См. Настройка pfBlockerNG на pfSense (часть 1)
TheRaven
25.03.2022 10:55Сама инструкция, конечно, такая себе, но и из неё можно извлечь пользу. Я вот как-то пропустил, что pfSense умеет в алиасах принимать на вход текстовик со списком IP\доменов и самостоятельно его обновлять.
Осталось туда положить линк на выгрузку роскомнадзора и написать полезное правило в фаервол, которое завернёт этот алиас в нужный гейтвей.
Кто-нибудь встречал выгрузку в совместимом формате?silinio Автор
25.03.2022 11:24Было в статье Настройка pfBlockerNG на pfSense (часть 1). С примером фида роскомсвободы. Не пропускайте.
dartraiden
Которые сейчас являются отличными мишенями для DDoS.
silinio Автор
У меня сейчас такая конфигурация — НСДИ (195.208.4.1, 195.208.5.1), Яндекс.ДНС (77.88.8.8, 77.88.8.1) и резолверы провайдера (галочка DNS Server Override на странице System / General Setup)
Итого шесть DNS'ов. Вероятность что всех стразу заDDoSят не такая высокая.
dartraiden
А, ну я так понял, что «перейти» означает «перейти только лишь на них».
Кстати, эти серверы ещё и фильтровали раньше контент, не знаю, как сейчас.
werter_l
Галка DNS Server Override на странице System / General Setup означает ИЛИ, а не И.
Ставя там галку будут использоваться ТОЛЬКО DNS серверы провайдера. Там об этом так и написано.