Добрый день! Уважаемые, подскажите, каким образом произвести настройку Dr.Web for IGW в связке со Squid3, чтобы первый блокировал загрузку исполняемых файлов? В мануале есть переменная "content_type", но при добавлении правила в модуль DrWeb Firewall вида "content_type in "application/octet-stream" : BLOCK as _match" ни чего не происходит. Методом "научного тыка" добавлял правило в модуль DrWEB ICAPD, но результат нулевой. Заранее благодарю
Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов
#1
Отправлено 31 Январь 2018 - 12:38
#2
Отправлено 31 Январь 2018 - 13:23
- Если сервер не отдаёт Content-Type или отдаёт другой, то не поможет.
- Добавлять правило надо, конечно, в ICAPD. Покажите ваши правила:
drweb-ctl cfshow icapd
- Логичнее BLOCK as BlackList, хотя и BLOCK as _match будет работать. BLOCK as _match задуман для блокировки вирусной угрозы или URL по категории.
#3
Отправлено 31 Январь 2018 - 13:25
ICAPD.LogLevel = Debug
ICAPD.Log = /var/log/drweb_icap.log
ICAPD.ExePath = /opt/drweb.com/bin/drweb-icapd
ICAPD.Start = Yes
ICAPD.RunAsUser = drweb
ICAPD.DebugDumpIcap = Yes
ICAPD.ListenAddress = 127.0.0.1:1344
ICAPD.TemplatesDir = /var/opt/drweb.com/templates/icapd
ICAPD.Whitelist =
ICAPD.Blacklist =
ICAPD.Adlist =
ICAPD.BlockInfectionSource = Yes
ICAPD.BlockNotRecommended = Yes
ICAPD.BlockAdultContent = Yes
ICAPD.BlockViolence = Yes
ICAPD.BlockWeapons = Yes
ICAPD.BlockGambling = Yes
ICAPD.BlockDrugs = Yes
ICAPD.BlockObsceneLanguage = Yes
ICAPD.BlockChats = Yes
ICAPD.BlockTerrorism = Yes
ICAPD.BlockFreeEmail = Yes
ICAPD.BlockSocialNetworks = Yes
ICAPD.BlockDueToCopyrightNotice = Yes
ICAPD.BlockKnownVirus = Yes
ICAPD.BlockSuspicious = Yes
ICAPD.BlockAdware = Yes
ICAPD.BlockDialers = Yes
ICAPD.BlockJokes = Yes
ICAPD.BlockRiskware = Yes
ICAPD.BlockHacktools = Yes
ICAPD.ScanTimeout = 30s
ICAPD.HeuristicAnalysis = On
ICAPD.PackerMaxLevel = 8
ICAPD.ArchiveMaxLevel = 8
ICAPD.MailMaxLevel = 8
ICAPD.ContainerMaxLevel = 8
ICAPD.MaxCompressionRatio = 500
ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS
ICAPD.RuleSet0 = user not in "AD@local@Allow_internet" : BLOCK as _match
ICAPD.RuleSet0 = content_type in "application/octet-stream" : BLOCK as _match
ICAPD.RuleSet1 = direction request, url_host in "ICAPD.Blacklist" : BLOCK as BlackList
ICAPD.RuleSet1 = direction request, url_host not in "ICAPD.Whitelist", url match "ICAPD.Adlist" : BLOCK as BlackList
ICAPD.RuleSet2 =
ICAPD.RuleSet3 = direction request, url_host not in "ICAPD.Whitelist", url_category in "ICAPD.BlockCategory" : BLOCK as _match
ICAPD.RuleSet4 =
ICAPD.RuleSet5 = threat_category in "ICAPD.BlockThreat" : BLOCK as _match
ICAPD.RuleSet6 =
ICAPD.BlockUnchecked = Yes
ICAPD.UsePreview = Yes
ICAPD.Use204 = Yes
ICAPD.AllowEarlyResponse = Yes
#4
Отправлено 31 Январь 2018 - 13:31
- Если сервер не отдаёт Content-Type или отдаёт другой, то не поможет.
- Добавлять правило надо, конечно, в ICAPD. Покажите ваши правила:
drweb-ctl cfshow icapd- Логичнее BLOCK as BlackList, хотя и BLOCK as _match будет работать. BLOCK as _match задуман для блокировки вирусной угрозы или URL по категории.
Если считать, что сервер не отдает Content-Type, то придется средствами Squid вырезать контент? Это печально, я надеялся, что DrWeb подобное может
Сообщение было изменено Ben_Throttle: 31 Январь 2018 - 13:31
#5
Отправлено 31 Январь 2018 - 13:42
- Если сервер не отдаёт Content-Type или отдаёт другой, то не поможет.
- Добавлять правило надо, конечно, в ICAPD. Покажите ваши правила:
drweb-ctl cfshow icapd- Логичнее BLOCK as BlackList, хотя и BLOCK as _match будет работать. BLOCK as _match задуман для блокировки вирусной угрозы или URL по категории.
Если считать, что сервер не отдает Content-Type, то придется средствами Squid вырезать контент? Это печально, я надеялся, что DrWeb подобное может
Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.
#6
Отправлено 31 Январь 2018 - 14:27
У вас в правилах разрешён доступ всем из Allow_internet без каких-либо проверок:
ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS
Подозреваю, это не то, что вы хотели, и стоит просто эту строчку убрать. Тогда те, кто не в Allow_internet, будут блокированы следующей строкой, а те кто в - пойдут через стандартные проверки.
Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.
Он передаёт то, что ему веб-сервер отдал.
#7
Отправлено 31 Январь 2018 - 14:39
У вас в правилах разрешён доступ всем из Allow_internet без каких-либо проверок:
ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASSПодозреваю, это не то, что вы хотели, и стоит просто эту строчку убрать. Тогда те, кто не в Allow_internet, будут блокированы следующей строкой, а те кто в - пойдут через стандартные проверки.
Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.
Он передаёт то, что ему веб-сервер отдал.
Спасибо, попробую
#8
Отправлено 01 Февраль 2018 - 10:07
У вас в правилах разрешён доступ всем из Allow_internet без каких-либо проверок:
ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASSПодозреваю, это не то, что вы хотели, и стоит просто эту строчку убрать. Тогда те, кто не в Allow_internet, будут блокированы следующей строкой, а те кто в - пойдут через стандартные проверки.
Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.
Он передаёт то, что ему веб-сервер отдал.,
Попробовал, результат тот же. Полгаю, что придется использовать возможности squid для запрета скачивания файлов, но на всякий случай задал вопрос техподдержке. Всем спасибо за ответы
#9
Отправлено 01 Февраль 2018 - 10:28
Использовать squid для запрета скачивания файлов будет правильнее, странно что Вы хотите сделать это с помощью Dr.Web.Полгаю, что придется использовать возможности squid для запрета скачивания файлов
#10
Отправлено 01 Февраль 2018 - 10:58
Использовать squid для запрета скачивания файлов будет правильнее, странно что Вы хотите сделать это с помощью Dr.Web.Полгаю, что придется использовать возможности squid для запрета скачивания файлов
А что тут странного? Возможно я чего-то не понимаю, но скажите, каким образом я буду вырезать из https трафика исполняемые файлы, если squid в данной связке этим не занимается? Перехват и расшифровку трафика, в данном случае, осуществляет Drweb через icap. Поправьте меня если я не прав
#11
Отправлено 01 Февраль 2018 - 11:08
Расшифровку трафика? Каким образом?
#12
Отправлено 01 Февраль 2018 - 11:10
Расшифровку трафика? Каким образом?
Перехват
#13
Отправлено 01 Февраль 2018 - 11:14
Перехватить перехватили. А расшифровывать-то как? Криптографию придумали не для того, чтоб она вот так тривиально вскрывалась.
#14
Отправлено 01 Февраль 2018 - 11:18
Перехватить перехватили. А расшифровывать-то как? Криптографию придумали не для того, чтоб она вот так тривиально вскрывалась.
Уяснил. Спасибо
#15
Отправлено 01 Февраль 2018 - 12:10
Аппетит приходит во время еды, да?каким образом я буду вырезать из https трафика исполняемые файлы
squid ssl bump
xttps://imbicile.pp.ru/konfiguraciya-squid3/
xttps://imbicile.pp.ru/squid-https-filtraciya/
acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.
#16
Отправлено 01 Февраль 2018 - 12:14
Все правильно, но пусть попробует.Криптографию придумали не для того, чтоб она вот так тривиально вскрывалась.
#18
Отправлено 01 Февраль 2018 - 14:09
acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.
Такое и ICAPD умеет:
drweb-ctl cfset -a icapd.adlist '\.(?i:exe)$'
#19
Отправлено 01 Февраль 2018 - 14:31
acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.
Такое и ICAPD умеет:
drweb-ctl cfset -a icapd.adlist '\.(?i:exe)$'
Замечательно, я до этого догадаться не смог
#20
Отправлено 01 Февраль 2018 - 14:46
acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.
Такое и ICAPD умеет:
drweb-ctl cfset -a icapd.adlist '\.(?i:exe)$'Замечательно, я до этого догадаться не смог
Работает, но не везде к сожалению. Только для тех ресурсов, где в URL явно указан файл с расширением, а на ресурсах, таких как sourceforgeэтот метод не работает. Но все равно спасибо =)
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых