pfSense使用防火墙IP阻止列表

IP阻止列表（又名IP黑名单、禁止列表等）功能非常丰富，好的列表IP更多，误报更少。IP阻止列表与多层安全性措施一起使用时被证明是非常有用的。另外，在很多情况下，IP阻止列表实际上可以帮助减少资源利用率和/或登录防火墙。

其中之一的IP阻止列表来自Binary Defense。如上所述，你可以使用许多其他列表，如果需要，甚至可以使用多个列表。banlist.txt文件每5分钟更新一次。

https://www.binarydefense.com/banlist.txt

另外一个列表是firehol_level3，可以从下面的地址进行更新：

https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level3.netset

在本示例中，我将使用pfSense防火墙进行配置示例。

创建别名

导航到Firewall -> Aliases，单击“Add”，为别名指定名称，指明描述说明，然后在URL表字段中输入链接。由于最低更新频率只有一天（/ 1），因此我们无法利用更新列表时每隔5分钟的时间范围。

入站/ WAN规则

接下来，转到Firewall -> Rules，选择WAN选项卡，并使用之前配置的别名添加如下图所示的规则。无需选中记录数据包，但是，我会强烈建议你选中它，以便在需要时能轻松地排除故障。

选项设置如下：
Action -> Block
Interface -> WAN
Protocol -> Any 
Source -> Single host or alias -> BanList
Log -> <选中>
Description -> <帮助你记住规则的说明>

点击保存并应用后，规则应该与下图的规则类似。此外，确保列表中的规则比其他规则更高，例如×××、网络服务器的NAT规则等。

出站/LAN规则

如果您只想阻止WAN接口上的入站，那么可以跳过本节。下面设置的这个规则可以阻止你的内部网络（比如你的局域网段）与已知的不良的外部IP地址进行通信。转到Firewall -> Rules，这次选择LAN选项卡。使用您之前配置的别名，添加如下图所示的规则。如果需要在几个内部网段上使用这个阻止列表，可以使用浮动规则，从而不必在每个内部网络上复制它。

选项设置如下：
Action -> Block
Interface -> LAN
Protocol -> Any
Destination -> Single host or alias -> BanList
注意：上面的WAN规则使用源地址，而LAN规则使用目标地址
Log -> <不选>
Description -> <帮助你记住规则的东西>

表

设置完以后，你应该能够将鼠标悬停在防火墙规则中的“BanList”上，并查看它是否具有与其关联的IP地址。查看与别名关联的所有IP地址的另一种方法是转到Diagnostics>Tables，然后从下拉列表中选择“BanList”。

它如何工作和阻止非法IP的？

现在你知道IP地址正在填充别名。但你怎么知道它实际上阻止了某些东西？你只需查看规则已处理的字节数，或者可以查看防火墙日志。例如我的防火墙日志，不到一分钟，浏览WAN接口上的前几个阻止条目，就发现了如下IP。请记住，如果你未记录所有阻止的数据包，则阻止的流量不会显示。

现在回到banlist.txt，我可以在那里找到相同的IP地址，证明拦截成功！

原文地址