GeoIP en Opnsense
#1
Si tenemos o hemos tenido instalado Qufirewall en el nas habremos visto que una de sus configuraciones es el bloqueo de ips por paises. Sin saberlo cierto aunque imagino que será así esas ips para bloquear estarán suministradas por una empresa llamada MaxMind que tiene listas de ips por paises de pago y gratuitas que serán estas últimas las que use Qufirewall. En Opnsense también tenemos la posibilidad de bloquear ips por paises con esas listas de MaxMind.

Lo primero que tenemos que hacer es acceder a esta web y registrarnos gratuítamente mediante usuario - contraseña aportando un correo electrónico válido:

https://www.maxmind.com/en/geolite2/signup

Una vez hecho el registro recibiremos en el correo electrónico que hayamos puesto un mensaje de confirmación. A continuación volvemos a acceder a la web anterior y accedemos mediante nuestro usuario - contraseña y al acceder nos iremos al apartado de esa web Manage License Keys

   

Al acceder nos aparecerá algo muy parecido a la siguiente imagen en la que tendremos que dar a Generate new license key

   

Esa clave es "de por vida" y la tenemos que guardar para luego ponerla en la configuración de Opnsense

A continuación, en Opnsense, nos vamos a Cortafuegos - Aliases - GeoIP settings

   

En el apartado Url tenemos que poner lo siguiente:  https://download.maxmind.com/app/geoip_d...suffix=zip

PELIGRO: Aunque he puesto la dirección completa no aparece entera, para solventarlo copiarla dándole al botón derecho del ratón y escogiendo Copiar dirección de enlace y a continuación pegarla en, por ejemplo, un archivo de texto para después editarla.

Tenemos que sustituir antes de poner esa dirección en Opnsense las XXXXXXXXXXXX por la clave que hemos generado antes. Hecho eso le damos a Aplicar

Esta configuración NO TIENE ninguna opción a la hora de actualizar esas ips de bloqueo por países pero más o menos, se actualizan una vez por mes automáticamente.

Ahora nos vamos a Cortafuegos - Aliases - Aliases y le damos al símbolo + que se encuentra a la derecha 

   

Nos aparecerá lo siguiente

   

Le ponemos el nombre que queramos, seleccionamos protocolo y escogemos los paises que queramos bloquear. En mi caso los tengo todos bloqueados excepto España....queda así

   

Guardados los cambios nos vamos a Cortafuegos - Reglas - Wan y le damos al símbolo + que está a la derecha para crear una nueva regla

   

Tenemos que dejarla tal y como se ve en la siguiente imagen

   

Acción Bloquear, en Origen nos tiene que aparecer el nombre que le hayamos puesto antes para GeoIp así que se lo ponemos y como Destino cualquiera. Guardamos los cambios más abajo.

   

El orden de las reglas en un firewall es muy importante y se mide de arriba hacia abajo. En la imagen que acabo de poner que tengo 2 puertos abiertos en Opnsense que están en la parte de abajo y las reglas que bloquean están en la parte de arriba, esa es la configuración correcta. Para mover de sitio las reglas que tengamos creadas en la parte derecha tenemos unas flechas que nos lo permiten hacer.

Para terminar, bloquear ips por paises es una muy buena medida de seguridad si se tienen abiertos puertos en Opnsense pero en el caso de que no los tuviéramos abiertos también tiene su importancia hacerlo ya que protege de vulnerabilidades de servicios o aplicaciones que tienen salida hacia internet.

Para comprobar que las ips para bloquear por paises se descargan y actualizan periódicamente corréctamente podemos verlo al acceder a Cortafuegos - Diagnósticos - Aliases seleccionando en el desplegable superior el nombre que antes le hayamos puesto a GeoIP

   
  Reply




Users browsing this thread: 1 Guest(s)