Перейти к содержимому


Содержание Ben_Throttle

13 публикаций пользователя Ben_Throttle OpenID:


по типу содержимого

Просмотр информации о пользователе

#843498 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 01 Февраль 2018 - 16:03 В: Dr.Web для Unix

 

Только для тех ресурсов, где в URL явно указан файл с расширением, а на ресурсах, таких как sourceforgeэтот метод не работает.

Ну, sourceforge можно блокирнуть целиком. Еще примеры урлов?

Что за дистрибутив? Версия squid? Текущие конфиги squid и icapd покажите.

 

Я так понял, что ресурсы, где ссылка на скачивание формируется после нажатия на ссылку, блокироваться таким способом не будут, можно бесконечно блокировать целиком такие ресурсы. По поводу версий : squid 3.3.8, Ubuntu server 14.04, конфиг сквида сток+ опции из мануала связанные с включением icap, конфиг icapd  в первом посте




#843493 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 01 Февраль 2018 - 14:57 В: Dr.Web для Unix

 

Работает, но не везде к сожалению.

А если слеш убрать?

 

Эффект тот же




#843491 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 01 Февраль 2018 - 14:46 В: Dr.Web для Unix

 

 

acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.


Такое и ICAPD умеет:

drweb-ctl cfset -a icapd.adlist '\.(?i:exe)$'

Замечательно, я до этого догадаться не смог

 

Работает, но не везде к сожалению. Только для тех ресурсов, где в URL явно указан файл с расширением, а на ресурсах, таких как sourceforgeэтот метод не работает. Но все равно спасибо =)




#843490 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 01 Февраль 2018 - 14:31 В: Dr.Web для Unix

 

acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.


Такое и ICAPD умеет:

drweb-ctl cfset -a icapd.adlist '\.(?i:exe)$'

Замечательно, я до этого догадаться не смог




#843468 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 01 Февраль 2018 - 11:18 В: Dr.Web для Unix

Перехватить перехватили. А расшифровывать-то как? Криптографию придумали не для того, чтоб она вот так тривиально вскрывалась.

Уяснил. Спасибо




#843465 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 01 Февраль 2018 - 11:10 В: Dr.Web для Unix

Расшифровку трафика? Каким образом?

Перехват




#843462 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 01 Февраль 2018 - 10:58 В: Dr.Web для Unix

 

Полгаю, что придется использовать возможности squid для запрета скачивания файлов

Использовать squid для запрета скачивания файлов будет правильнее, странно что Вы хотите сделать это с помощью Dr.Web.

 

А что тут странного? Возможно я чего-то не понимаю, но скажите, каким образом я буду вырезать из https трафика исполняемые файлы, если squid в данной связке этим не занимается? Перехват и расшифровку трафика, в данном случае, осуществляет Drweb через icap. Поправьте меня если я не прав




#843453 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 01 Февраль 2018 - 10:07 В: Dr.Web для Unix

У вас в правилах разрешён доступ всем из Allow_internet без каких-либо проверок:

ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS

Подозреваю, это не то, что вы хотели, и стоит просто эту строчку убрать. Тогда те, кто не в Allow_internet, будут блокированы следующей строкой, а те кто в - пойдут через стандартные проверки.
 

Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.

Он передаёт то, что ему веб-сервер отдал.,

Попробовал, результат тот же. Полгаю, что придется использовать возможности squid для запрета скачивания файлов, но на всякий случай задал вопрос техподдержке. Всем спасибо за ответы




#843401 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 31 Январь 2018 - 14:39 В: Dr.Web для Unix

У вас в правилах разрешён доступ всем из Allow_internet без каких-либо проверок:

ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS

Подозреваю, это не то, что вы хотели, и стоит просто эту строчку убрать. Тогда те, кто не в Allow_internet, будут блокированы следующей строкой, а те кто в - пойдут через стандартные проверки.
 

Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.

Он передаёт то, что ему веб-сервер отдал.

Спасибо, попробую




#843398 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 31 Январь 2018 - 13:42 В: Dr.Web для Unix

 

 

  • Если сервер не отдаёт Content-Type или отдаёт другой, то не поможет.
  • Добавлять правило надо, конечно, в ICAPD. Покажите ваши правила:
    drweb-ctl cfshow icapd
  • Логичнее BLOCK as BlackList, хотя и BLOCK as _match будет работать. BLOCK as _match задуман для блокировки вирусной угрозы или URL по категории.

 

Если считать, что сервер не отдает Content-Type, то придется средствами Squid вырезать контент? Это печально, я надеялся, что DrWeb подобное может

 

Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.




#843396 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 31 Январь 2018 - 13:31 В: Dr.Web для Unix

 

  • Если сервер не отдаёт Content-Type или отдаёт другой, то не поможет.
  • Добавлять правило надо, конечно, в ICAPD. Покажите ваши правила:
    drweb-ctl cfshow icapd
  • Логичнее BLOCK as BlackList, хотя и BLOCK as _match будет работать. BLOCK as _match задуман для блокировки вирусной угрозы или URL по категории.

 

Если считать, что сервер не отдает Content-Type, то придется средствами Squid вырезать контент? Это печально, я надеялся, что DrWeb подобное может




#843395 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 31 Январь 2018 - 13:25 В: Dr.Web для Unix

ICAPD.LogLevel = Debug
ICAPD.Log = /var/log/drweb_icap.log
ICAPD.ExePath = /opt/drweb.com/bin/drweb-icapd
ICAPD.Start = Yes
ICAPD.RunAsUser = drweb
ICAPD.DebugDumpIcap = Yes
ICAPD.ListenAddress = 127.0.0.1:1344
ICAPD.TemplatesDir = /var/opt/drweb.com/templates/icapd
ICAPD.Whitelist =
ICAPD.Blacklist =
ICAPD.Adlist =
ICAPD.BlockInfectionSource = Yes
ICAPD.BlockNotRecommended = Yes
ICAPD.BlockAdultContent = Yes
ICAPD.BlockViolence = Yes
ICAPD.BlockWeapons = Yes
ICAPD.BlockGambling = Yes
ICAPD.BlockDrugs = Yes
ICAPD.BlockObsceneLanguage = Yes
ICAPD.BlockChats = Yes
ICAPD.BlockTerrorism = Yes
ICAPD.BlockFreeEmail = Yes
ICAPD.BlockSocialNetworks = Yes
ICAPD.BlockDueToCopyrightNotice = Yes
ICAPD.BlockKnownVirus = Yes
ICAPD.BlockSuspicious = Yes
ICAPD.BlockAdware = Yes
ICAPD.BlockDialers = Yes
ICAPD.BlockJokes = Yes
ICAPD.BlockRiskware = Yes
ICAPD.BlockHacktools = Yes
ICAPD.ScanTimeout = 30s
ICAPD.HeuristicAnalysis = On
ICAPD.PackerMaxLevel = 8
ICAPD.ArchiveMaxLevel = 8
ICAPD.MailMaxLevel = 8
ICAPD.ContainerMaxLevel = 8
ICAPD.MaxCompressionRatio = 500
ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS
ICAPD.RuleSet0 = user not in "AD@local@Allow_internet" : BLOCK as _match

ICAPD.RuleSet0 = content_type in "application/octet-stream" : BLOCK as _match
ICAPD.RuleSet1 = direction request, url_host in "ICAPD.Blacklist" : BLOCK as BlackList
ICAPD.RuleSet1 = direction request, url_host not in "ICAPD.Whitelist", url match "ICAPD.Adlist" : BLOCK as BlackList
ICAPD.RuleSet2 =
ICAPD.RuleSet3 = direction request, url_host not in "ICAPD.Whitelist", url_category in "ICAPD.BlockCategory" : BLOCK as _match
ICAPD.RuleSet4 =
ICAPD.RuleSet5 = threat_category in "ICAPD.BlockThreat" : BLOCK as _match
ICAPD.RuleSet6 =
ICAPD.BlockUnchecked = Yes
ICAPD.UsePreview = Yes
ICAPD.Use204 = Yes
ICAPD.AllowEarlyResponse = Yes
 




#843391 Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов

Отправлено по Ben_Throttle в 31 Январь 2018 - 12:38 В: Dr.Web для Unix

Добрый день! Уважаемые, подскажите, каким образом произвести настройку Dr.Web for IGW в связке со Squid3, чтобы первый блокировал загрузку исполняемых файлов? В мануале есть переменная "content_type", но при добавлении правила в модуль DrWeb Firewall вида "content_type in "application/octet-stream" : BLOCK as _match" ни чего не происходит. Методом "научного тыка" добавлял правило в модуль DrWEB ICAPD, но результат нулевой. Заранее благодарю