Pfsense tiene ese excelente servicio de filtrado basado en las consultas DNS, el cual usa un mecanismo muy basico para bloquear dominios indeseados AD’s o publicidad que ya es algo con lo que vivimos diariamente cuando navegamos y muchas cosas mas segun las listas que le demos de alta.
Esta bien para una casa a lo mejor le sale una buena oferta, pero en un negocio como que ya no, por que abusan y ese pedazo de publicidad tiene un costo en ancho de banda y tiempo que no lo regalan.
Ahora este fue una de las razones por lo cual nace PfBlockerNG tomando la idea de “pi-hole“, detener esos AD’s(publicidad) para que no lleguen a nuestra red.
Este es un ejemplo de cuantos queries se han bloqueado en mi red:
Me indica que el 50.65% de lo queries los ha bloqueado, cerca de 23,355 y abajo de que listas han sido.
Pero que podemos hacer cuando deseamos que ciertas redes tanto fisicas como virtuales(vlans) o IP’s no deseamos sean filtradas por PfBlockerNG?
Tenemos esta seccion de la configuracion en la seccion ‘IP’ donde al parecer le indicamos a que interfaces deseamos que se aplique el filtrado.
Pero aunque no seleccionemos las interfaces que no deseamos filtrar, le importa poco y las filtra. Intentenlo :-), a parte no hay manera de indicarle que solo cierta(s) ip(s) no sean filtradas, ya el director de la empresa esta molesto por que no puede accesar las paginas prohibidas :-).
Solución.
La unica manera de atacar este problema es atraves de ‘DNS Resolver‘ y sus ACL(Controles de Acceso) no via PfBlockerNG(este no respeta a nadie), veamos el siguiente ejemplo.
Nuestro director desea accesar a el sitio ‘proxy-store.com‘ pero como trato de hacer mi trabajo bien y se que ese dominio tiene que ver con web proxies que permiten evadir a los filtros de la empresa, pero como es el director y ya le plantie las consecuencias pues adelante, me indico que el no desea ser bloqueado.
Su direccion de red como podemos ver es la 192.168.9.123 y la lista llamada ‘Proxy1‘ es la que tiene ese dominio registrado.
Ahora como se que PfblockerNG no tiene aparte de la interfaz alguna otra opcion donde yo pueda liberar IPs para que no las filtre, el “DNS Resolver” si.
Para esto nos vamos a el GUI de Pfsense sección:
Services -> DNS Resolver->General Settings.
Nos movemos hasta la parte baja y le damos click en el boton “Display Custom Options“
Se abre la configuración y vemos lo siguiente:
La figura anterior muestra los parametros de fabrica de “DNS Resolver” cuando se configura PfBlockerNG.
Para indicarle que la IP del director no sea filtrada hacemos el siguiente cambio:
server: access-control-view: 192.168.9.123/32 sinfiltro access-control-view: 192.168.9.0/24 dnsbl view: name: "sinfiltro" view-first: yes view: name: "dnsbl" view-first: yes include: /var/unbound/pfb_dnsbl.*conf
Ponerle atencion, la primer linea le indicamos que la IP 192.168.9.123/32 no deseamos sea filtrada por PFBlockerNG, enseguida le indicamos que posteriormente la red 192.168.9.0/24 si, estos son los ACL(Controles de Acceso) de “DNS Resolver“.
Y le damos al boton “Save” para guardar los cambios y enseguida aplicar los cambios “Apply Changes” como lo indica la siguiente figura.
Prueba de Fuego.
No tenemos que hacer nada en PFBlockerNG, nos vamos de nuevo con el cliente y vamos a probar entrar a la pagina bloqueado y crucemos los dedos.
Listo, ya este cliente no sera mas filtrado por PFBlockerNG, asi de simple.
Se preguntaran y como decirle que no filtre todo una interface, por ejemplo si tenemos en una VLAN habilitado el “Captive Portal” usando la red 192.168.10.0/25?
La configuración quedaria asi:
server: access-control-view: 192.168.9.123/32 sinfiltro access-control-view: 192.168.10.0/25 cp access-control-view: 192.168.9.0/24 dnsbl view: name: "sinfiltro" view-first: yes view: name: "cp" view-first: yes view: name: "dnsbl" view-first: yes include: /var/unbound/pfb_dnsbl.*conf
Si gustan pueden probar de su lado y me dicen como les fue.
Resumen.
Esto que aqui les acabo de mostrar es la unica manera hasta donde se sabe de como liberar tanto IP’s como redes completas de ‘PFBlockerNG‘, es algo que se le ha pedido a los desarrolladores pero aun sin hacer ruido, no crean todo lo que les digo, hagan sus pruebas y me dicen como les fue.
No quiero quedarme con el credito de este truco, esto viene del foro de pfsense.
https://forum.netgate.com/topic/129365/bypassing-dnsbl-for-specific-ips
Credito a quien se lo merece, aun asi espero les sirva si tenian dudas de como llevar a cabo este brinco, confirmado funciona en Pfsense 2.5.x, 2.6.0 y 2.7.0-dev, nos vemos pronto banda!!!
https://www.youtube.com/PedroMorenoBOS