OPNsense配置使用外部黑名单阻止恶意 IP

在防火墙上使用外部黑名单来阻止恶意 IP 是防火墙最常见的功能,这有助于保护内部网络的安全。当然你也可以使用DoH / DoT(基于 http 或 TLS 的 DNS)或 IPS来做这件事。但从配置的难度上来说,还是前者更方便。下面介绍一下配置方法。

创建外部黑名单别名

OPNsense 支持在别名中使用外部黑名单,别名可用在防火墙规则上。我们首先要使用“URL 表 (IP)”类型为所需的黑名单创建别名。

可以使用firehol.orgspamhaus dropdshield_30d黑名单位列表,更新频率为 12 小时。

要注意查看使用的列表内容,以避免出现访问故障。有些列表可能包含阻止本地流量的私有 IP。

创建防火墙浮动规则

配置浮动规则可以阻止这些列表中的IP流量,跟接口和进出方向没有关联,这大大减少了在每个接口上配置规则的数量。

  • 规则类别:浮动
  • 动作:阻止
  • 方向:any
  • TCP 版本:IPv4 IPv6
  • 目标:选中前面设置的别名
  • 协议:any
  • 记录:选中

选中激活日志记录,方便在遇到问题时能够轻松识别和检查日志中的阻止条目。

设置完成以后,单击保存并“应用更改”,确保规则生效。

测试

在规则生效以后,注意查看日志,确保一切正常。也可以从黑名单中选择一个 IP进行ping或ssh测试,来验证规则是否生效。

可以看到ping或ssh-ing IP都无法连通,在防火墙实时日志中也能看到流量被阻止。

其他

只需使用更多的列表就可以阻止更多的恶意主机,但在添加之前,要确保列表的内容是你需要的。

需要注意的是,如果添加列表过多,可能需要在“设置 -> 高级”中增加“防火墙最大表条目”的值。

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇