IP级别的阻止简单粗暴,但非常有效和可靠,它只在OSI模型的第 3/4 层拦截连接。由于是在网络结构的较低层级上操作,因此与在第7层上执行类似操作的更复杂的方法相比,性能方面的开销几乎为零。
当然,还有其他方法可以达到类似的结果。然而,如果想要完全阻止与特定IP的连接,没有什么比在第 3/4 层进行阻塞更好了。 当然,在其他层上采取补充措施(例如 DNS阻止列表和深度数据包检查)也绝对有意义,可以捕获可能仅通过精准IP层阻止的内容。
在OPNsense上使用和管理外部提供的IP阻止列表可以通过别名来实现。
创建阻止别名
OPNsense支持在别名中使用外部阻止列表,且可用于防火墙规则。首先要为所需的阻止列表创建URL Table (IPs) 类型别名。可以为每种阻止列表类型使用不同的别名,以便能够单独配置更新间隔并能够独立激活或停用每个阻止列表类型。对于更新间隔,请确保遵守列表提供商的建议。
本示例中spamhaus drop 和 edrop 阻止列表的更新频率为 12 小时。
- https://www.spamhaus.org/drop/drop.txt
- https://www.spamhaus.org/drop/edrop.txt
- https://www.spamhaus.org/drop/dropv6.txt
在使用之前请务必检查列表的内容,以避免出现可能的意外。有些列表包含阻止私有 IP,可能会导致本地流量受阻,甚至可能将您锁定在防火墙之外。
配置防火墙规则
为了减少规则的配置数量,可以在浮动规则上配置阻止的规则。确保方向、TCP 版本、协议选择正确,以使规则应用于所有流量、方向、TCP 版本和协议。为了检查规则的执行情况,可以激活日志记录选项,以便查阅日志并随时了解发生的情况。
单击保存,并应用更改以使规则生效。
验证测试
在接下来的时间里,需要密切关注日志,以确保一切按计划工作。 要快速验证新规则是否按预期运行,可以从阻止列表中,选择一个IP并用ping命令进行检查,看是否能ping通。
ping -c 3 24.236.0.1
可以看到,正如预期的那样,ping 或尝试连接到阻止列表中包含的 IP 不起作用,并且在防火墙实时日志中也可以观察到流量被阻止。
其他
根据以上步骤,我们可以轻松地将其扩展到其他阻止列表,以便在第 3/4 层上可靠地阻止恶意流量。
作为对这一基本保护级别的补充,当然始终建议使用其他保护层,例如DNS过滤或第 7 层防火墙功能。 OPNsense也提供这两种服务的功能。
阻止列表URL
# BL_3coresec
https://blacklist.3coresec.net/lists/all.txt# BL_abusech_feodo_botnet_c2
https://sslbl.abuse.ch/blacklist/sslipblacklist.txt
https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt# BL_cins_army
https://cinsscore.com/list/ci-badguys.txt# BL_cisco_talos
https://talosintelligence.com/documents/ip-blacklist# BL_dshield_30d
https://iplists.firehol.org/files/dshield_30d.netset# BL_spamhaus_drop
https://www.spamhaus.org/drop/drop.txt
https://www.spamhaus.org/drop/edrop.txt
https://www.spamhaus.org/drop/dropv6.txt# et_block
http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
添加评论