In un contesto in cui le minacce informatiche e il tracciamento online sono sempre più diffusi, disporre di strumenti avanzati per il controllo del traffico di rete è diventato fondamentale.

pfBlockerNG è un potente pacchetto per pfSense, il celebre firewall open source, che consente di estendere le funzionalità di sicurezza attraverso il blocco di IP malevoli, domini pubblicitari, tracker e molto altro.

In questo articolo vedremo come procedere all’installazione e alla configurazione di pfBlockerNG su pfSense, partendo dalle basi fino ad arrivare all’attivazione delle blacklist IP e DNSBL.

Una guida pratica, pensata per chi desidera rafforzare la sicurezza della propria rete con uno strumento flessibile, aggiornabile e completamente gratuito.

CREAZIONE ACCOUNT MAXMIND

Per creare un account sul sito MaxMind richiamare la seguente URL

Creazione URL MaxMind

Compilare tutti i campi, accettare l’EULA e cliccare Continue

Dovremmo ricevere una mail per la creazione della password come mostrato nell’immagine sovrastante

Inserire due volte la password quindi cliccare Reset Password

Inserire la mail della registrazione quindi cliccare Next

Inserire la password quindi cliccare su Sign In

Inserire il Token che arriva via mail quindi cliccare Verify

Cliccare sul menù a sinistra su Manage License Keys quindi Generate new license key

Inserire la Description della Key quindi cliccare Confirm

Segnarsi l’Account ID e la License Key

INSTALLAZIONE E CONFIGURAZIONE BASE DI PFBLOCKERNG

Per installare pfBlockerNG andare su System > Package Manager > Available Packages

Cerca pfBlockerNG-devel (⚠️ NON installare solo “pfBlockerNG”)

Cliccare Install

Attendere il completamento dell’installazione

✅ Usare la versione pfBlockerNG-devel (più aggiornata e supportata)

Cliccare Next

ATTENZIONE:

La procedura guidata di pfBlockerNG configurerà una configurazione predefinita per pfBlockerNG.
Questa configurazione predefinita è un’installazione di livello base, progettata per assistere i principianti di pfBlockerNG.
Se pfBlockerNG è già stato configurato in precedenza, tutte le impostazioni verranno eliminate al termine di questa procedura guidata!
Verranno installati due componenti:

IP: Le regole del firewall verranno aggiunte alle interfacce in uscita selezionate per bloccare i peggiori trasgressori.
DNSBL: Utilizzando il DNS Resolver, verranno bloccati gli annunci pubblicitari e i domini dannosi più noti.

Per proseguire cliccare Next

In “Inbound Firewall Interface”: selezionare WAN

In “Outbound Firewall Interface”: selezionare LAN

Cliccare Next per proseguire

Lasciare tutto di Default e cliccare su Next

ATTENZIONE: accertarsi che l’IP 10.10.10.1 non vada in overlap con le subnet della rete interna

Cliccare Finish per terminare il Wizard

CONFIGURAZIONE AVANAZATA DI PFBLOCKERNG

Terminato il wizard procedere con la configurazione avanzata di pfBlockerNG

SEZIONE GENERAL

Nella sezione General configurare tutto come mostrato nell’immagine sovrastante

SEZIONE IP

Nella sezione IP configurare tutto come mostrato nell’immagine sovrastante.

ATTENZIONE: Inserire il MaxMind Account ID e la Licenze Key

SEZIONE UPDATE

Dopo aver configurato la Key di MaxMind andare nella sezione Update

Accertarsi che il tempo rimanente alla prossima esecuzione automtica non sia imminente

Quindi cliccare Run

Dovremmo visualizzare un Output simile al seguente:

SEZIONE IP – GEOIP

Andare quindi nella sezione IP -> GeoIP

Dovremmo veder comparire a fianco ad ogni Continente una matita che ci permetterà di configurare i blocchi

Cliccando sulla matita è possibile editare la configurazione.

Ad esempio nel mio caso bloccherò tutto il traffico che arriva dal Liechtenstein in entrambe le direzioni.

SEZIONE DNSBL (OPZIONALE)

Questa sezione se configurata opportunamente server a bloccare Pubblicità, Malware e Tracker

🔧 1. Unbound Mode

(Chiamata anche “Legacy” o “Standard” mode)

🔹 Come funziona:

pfBlockerNG modifica direttamente la configurazione di Unbound DNS Resolver.

Crea delle zone statiche (local-zone) per ogni dominio bloccato.

Quando un client chiede di risolvere un dominio bloccato, Unbound risponde con:

0.0.0.0 (Null Block)

Oppure un IP virtuale locale (DNSBL VIP), per reindirizzare al webserver di blocco (pagina di avviso).

🔹 Caratteristiche principali:

Più semplice da configurare.

Non richiede Python.

Adatto a reti semplici o medie.

🔹 Pro:

Affidabile, collaudato.

Buona compatibilità.

🔹 Contro:

Meno flessibile.

Non supporta funzioni avanzate come:

Regex

Wildcard CNAME

Group Policy per IP LAN

no-AAAA

Blocco IDN

🧠 2. Unbound Python Mode

(Chiamata anche “Advanced / Python Integration”)

🔹 Come funziona:

pfBlockerNG integra un modulo in Python all’interno del resolver Unbound tramite un hook DNS.

Le richieste DNS vengono intercettate e gestite dinamicamente via script Python.

🔹 Caratteristiche principali:

Abilita blocchi DNS avanzati, impossibili con Unbound standard.

🔹 Funzioni aggiuntive (esclusive):

🔍 Regex Blocking: Blocca domini con pattern personalizzati via espressioni regolari
🌍 IDN Blocking: Blocca domini internazionali (xn--)
🔗 CNAME Validation: Blocca i domini di destinazione risolti da CNAME
🧱 no AAAA: Blocca solo le richieste DNS IPv6 (record AAAA)
👥 Group Policy: Permette il bypass DNSBL per IP LAN specifici
🧰 TLD Allow: Permette solo i TLD scelti (es. .com, .org) e blocca tutti gli altri
🧪 HSTS Mode: Usa null-block contro domini HTTPS forzati (per evitare errori nel browser)

🔹 Pro:

Estremamente potente e personalizzabile.

Maggiore precisione nel blocco.

Utile per scenari avanzati, controllo familiare o aziende.

🔹 Contro:

Più complesso da gestire.

Richiede maggiore attenzione nelle whitelist per evitare falsi positivi.

Richiede Python attivo nel sistema.

Terminata la configurazione sulla Dashboard di pfSense dovremmo visualizzare il widget relativo a pfBlockerNG

Come mostrato nell’immagine sovrastante dovremmo visualizzare tutte le info relative agli IP bloccati.