amorozov, благодарю за конструктив!
А вы точно этого хотите?
Правилами умолчанию хосты из Whitelist пропускаются мимо списков из dws-баз, но всё равно проверяются на вирусы.
Ваше правило сделает так, что они пойдут и мимо антивирусной проверки.
Задать файл с белым списком на данный момент нельзя.
Можно загнать список в конфиг подобным образом:
cat whitelist.txt | xargs -Ihost drweb-ctl cfset -a icapd.whitelist host
Для удаления добавленного:
drweb-ctl cfset -r icapd.whitelist
С ICAPD.RuleSet0 = url_host in "ICAPD.Whitelist" : PASS я вас понял.
Конечно не хочу, требовалось только пропускать обращения к узлам в Whitelist мимо списков из dws-баз. Но т.к. изначально была попытка задать файл со списком и не работало, а также ввела в заблуждение вышеуказанная цитата из документации, относительно необходимости наличия строки выше, пошел по неверному пути.
Списком пока наиболее удобно управлять через веб-интерфейс, загоняя скопом нужно количество ресурсов.
Осваивайте правила:
http://download.geo.drweb.com/pub/drweb/unix/gateway/11.0/documentation/html/ru/index.html?dw_9_configfile_rules.htm
[ICAPD]
RuleSet0 = src_ip in (10.20.30.41, 198.126.10.0/24) : PASS
Благодарю, пример рабочий.
Опять-таки указание на файл со списком адресов тут будет работать?
Отсутствие в документации примеров реализации различных задач правилами весьма ограничивает возможности применения инструмента, материала много, но как всем этим пользоваться практически - догадайся сам. Возможно, я не нашел примеров решения задач данным инструментом.
С помощью параметров BlockKnownVirus, BlockSuspicious, BlockAdware, BlockDialers, BlockJokes, BlockRiskware, BlockHacktools указываете, какие виды угроз хотите блокировать (yes) или пропускать (no).
Теперь карантина у ICAPD нет.
Заблокированные URL можно найти в логе + отправляются уведомления по SNMP.
Про переменные Block* с включением\выключением понятно, это аналогия с 6-й версией пакета, я же имел в виду, как для нужного списка изменить действие с информирования на, скажем, карантин, но раз последний для ICAPD упразднен в продукте, то и необходимость в управлении действием с объектом уменьшилась.
Надо увеличить лимит на количество открытых файлов.
Вообще, есть настройка BlockUnchecked, которая по умолчанию как раз установлена, чтобы пропускать в случае ошибок, но она не все ошибки позволяет пропустить.
Об этом в документации информации не видел, хотелось бы конкретики от разработчиков.
Речь о изменении значений sysctl kern.maxfiles и sysctl kern.maxfilesperproc, если да, какие тогда рекомендации?
И касаемо отработки переменой BlockUnchecked, в каких ситуациях она срабатывает в случаях ошибки проверки?
Это уже не косметическая проблема, вопрос стабильности и отказоустойчивости в целом.