19 ответов в этой теме

[kaktus]

Здравствуйте.

Имеется несколько машин с Astra Linux SE 1.6, на одну установлен центр управления

drweb-11.00.2-201905070-esuite-server-unix-linux-x86_64 , на клиенты

drweb-workstations_11.1.0-1905132145+mo~linux_amd64

подскажите, чтобы разрешить трафик на несколько ресурсов - возможно ли это реализовать средствами сервера или соответственно клиентов?

Рекомендации этого поста  пока не помогают. Если возможно, киньте подробным мануалом .

[dmitrii.s]

kaktus, добрый день.

Рекомендации этого поста  пока не помогают.

Данные рекомендации актуальны для продукта, который работает в standalone-режиме, без подключения к ES-серверу.

 

Однако существует возможность настройки исключений в интерфейсе ES.

Для этого необходимо произвести вход в веб-интерфейс сервера ES, после чего открыть "Антивирусная сеть", установить фокус мыши на необходимую станцию в списке станций.

Затем в левом меню открыть раздел "SpIDer Gate", далее открыть вкладку "Веб-фильтр".

На вкладке "Веб-фильтр" в самом финале странице Вы увидите строку: "Используйте белые и черные списки, чтобы разрешить или запретить доступ к определенным сайтам в интернете".

В список "Белый список" Вы можете добавить веб-ресурсы, для которых необходимо разрешить трафик.

После добавления веб-ресурсов, необходимо будет сохранить изменения, нажав на кнопку "Сохранить" в правом углу экрана на странице раздела SpIDer Gate.

[Afalin]

установить фокус мыши на необходимую станцию в списке станций.

Этот совет приведёт к тому, что настройки гейта будут заданы персонально для конкретных станций. Судя по тому, что машина такая не одна, поштучно настраивать нерационально.

[kaktus]

kaktus, добрый день.

 

 

Рекомендации этого поста  пока не помогают.

Данные рекомендации актуальны для продукта, который работает в standalone-режиме, без подключения к ES-серверу.

 

Однако существует возможность настройки исключений в интерфейсе ES.

Для этого необходимо произвести вход в веб-интерфейс сервера ES, после чего открыть "Антивирусная сеть", установить фокус мыши на необходимую станцию в списке станций.

Затем в левом меню открыть раздел "SpIDer Gate", далее открыть вкладку "Веб-фильтр".

На вкладке "Веб-фильтр" в самом финале странице Вы увидите строку: "Используйте белые и черные списки, чтобы разрешить или запретить доступ к определенным сайтам в интернете".

В список "Белый список" Вы можете добавить веб-ресурсы, для которых необходимо разрешить трафик.

После добавления веб-ресурсов, необходимо будет сохранить изменения, нажав на кнопку "Сохранить" в правом углу экрана на странице раздела SpIDer Gate.

-после применения настроек для станции отсоединился от ЦУ, присоединился - сайты вне белого списка доступны

- перезагрузил сервис командой service drwcsd restart  - сайты вне белого списка доступны.

Задача именно исключить доступ на ВСЕ сайты кроме некоторых указанных. Не исключить сайты из проверки САВЗом,  а именно трафик, чтобы открыл например youtube.ru - а там запрет Drwebа ну и т.д.

[kaktus]

kaktus, добрый день.

 

 

Рекомендации этого поста  пока не помогают.

Данные рекомендации актуальны для продукта, который работает в standalone-режиме, без подключения к ES-серверу.

 

Однако существует возможность настройки исключений в интерфейсе ES.

Для этого необходимо произвести вход в веб-интерфейс сервера ES, после чего открыть "Антивирусная сеть", установить фокус мыши на необходимую станцию в списке станций.

Затем в левом меню открыть раздел "SpIDer Gate", далее открыть вкладку "Веб-фильтр".

На вкладке "Веб-фильтр" в самом финале странице Вы увидите строку: "Используйте белые и черные списки, чтобы разрешить или запретить доступ к определенным сайтам в интернете".

В список "Белый список" Вы можете добавить веб-ресурсы, для которых необходимо разрешить трафик.

После добавления веб-ресурсов, необходимо будет сохранить изменения, нажав на кнопку "Сохранить" в правом углу экрана на странице раздела SpIDer Gate.

Вы не могли бы уточнить, может ли Drweb Esuite server unix-linux 11.00.2 выполнять роль файервола и ограничивать весь трафик за исключением некоторых сайтов ?

[dmitrii.s]

Drweb Esuite server unix-linux 11.00.2 выполнять роль файервола и ограничивать весь трафик за исключением некоторых сайтов ?

Для решения такой задачи можно попробовать воспользоваться редактором ini в разделе:

Антивирусная сеть > Название станции или группы станций > UNIX > Агент Dr.Web (вкладка "Конфигурация").

В "Конфигурационный файл drweb.ini" следует описать настройки правил (их порядок, на основе предложенной рекомендации).

 

То есть, к примеру:

[LinuxFirewall]
OutputDivertEnable = Yes
InputDivertEnable = Yes
ForwardDivertEnable = Yes
InspectHttp = Yes
UnwrapSsl = No
RuleSet1 = divert output : set HttpTemplatesDir = "output"
RuleSet1 = divert input : set HttpTemplatesDir = "input"
RuleSet1 = divert forward : set HttpTemplatesDir = "output"
RuleSet4 = protocol in (Http), direction request, url_host in "LinuxFirewall.Whitelist" : PASS
RuleSet5 = protocol in (Http), direction request, url_host in "LinuxFirewall.Blacklist" : BLOCK as BlackList

Важно не забыть сохранить изменения на странице.

 

А в разделе Антивирусная сеть > Название станции или группы станций > UNIX > SpIDer Gate (вкладка "Веб-фильтр") установить в черный список домены, к примеру:

.org

.com

.ru

А в белый список сайт (или сайты, к которым следует разрешить доступ).

Сохранить изменения.

 

Проверить применение настроек на станции можно при помощи выполнения команды (непосредственно на станции):

$ drweb-ctl cfshow LinuxFirewall

В выводе нужно будет убедиться, что порядок правил установлен в соответствии со значениями, которые Вы устанавливали в редакторе ini, а в полях LinuxFirewall.BlackList и LinuxFirewall.WhiteList должны быть значения, которые Вы установили при настройке в веб-интерфейсе ES-сервера.

К примеру:

$ drweb-ctl cfshow linuxfirewall
...
LinuxFirewall.Whitelist = example.com
LinuxFirewall.Blacklist = .org
LinuxFirewall.Blacklist = .com
LinuxFirewall.Blacklist = .ru
...
LinuxFirewall.RuleSet4 = protocol in (Http), direction request, url_host in "LinuxFirewall.Whitelist" : PASS
LinuxFirewall.RuleSet5 = protocol in (Http), direction request, url_host in "LinuxFirewall.Blacklist" : BLOCK as BlackList

Очень важно учитывать, что в случае указания настроек при помощи конфигурационного файла drweb.ini, необходимо указывать явно все желаемые настройки для выбранного компонента LinuxFirewall, т.к. неуказанные параметры будут приведены и переданы на станцию в значении по умолчанию.

[kaktus]

Здравствуйте, спасибо за ответ.

После внесения изменения в конфигурации работает блокировка сайтов только по http, белый список не работает.

Причем блокировка начинает происходить только если одновременно присутствует блокировка например домена .ru в черном спиcке конфигурации Spider Gate  и такие записи в Антивирусная сеть - имя машины - drweb.ini

Spoiler

[LinuxFirewall]
OutputDivertEnable = Yes
InputDivertEnable = Yes
ForwardDivertEnable = Yes
InspectHttp = Yes
UnwrapSsl = No
LinuxFirewall.Whitelist =
LinuxFirewall.Blacklist = .org
LinuxFirewall.Blacklist = .com
LinuxFirewall.Blacklist = .ru
RuleSet1 = divert output : set HttpTemplatesDir = "output"
RuleSet1 = divert input : set HttpTemplatesDir = "input"
RuleSet1 = divert forward : set HttpTemplatesDir = "output"
RuleSet4 = protocol in (Http), direction request, url_host in "LinuxFirewall.Whitelist" : PASS
RuleSet5 = protocol in (Http), direction request, url_host in "LinuxFirewall.Blacklist" : BLOCK as BlackList

Прикрепленные файлы:

•  blacklist.png   22,01К   0 Скачано раз

[dmitrii.s]

kaktus, добрый день.

Для того, чтобы включить проверку https, необходимо внести изменения в разделе:

Антивирусная сеть > Название станции или группы станций > UNIX > Агент Dr.Web (вкладка "Конфигурация").

А именно, параметр UnwrapSsl изменить на Yes, а так же добавить правило "RuleSet1 =  : set Unwrap_SSL = true".

К примеру:

[LinuxFirewall]
OutputDivertEnable = Yes
InputDivertEnable = Yes
ForwardDivertEnable = Yes
InspectHttp = Yes
UnwrapSsl = Yes
RuleSet1 =  : set Unwrap_SSL = true
RuleSet1 = divert output : set HttpTemplatesDir = "output"
RuleSet1 = divert input : set HttpTemplatesDir = "input"
RuleSet1 = divert forward : set HttpTemplatesDir = "output"
RuleSet4 = protocol in (Http), direction request, url_host in "LinuxFirewall.Whitelist" : PASS
RuleSet5 = protocol in (Http), direction request, url_host in "LinuxFirewall.Blacklist" : BLOCK as BlackList

[kaktus]

 

kaktus, добрый день.

Для того, чтобы включить проверку https, необходимо внести изменения в разделе:

Антивирусная сеть > Название станции или группы станций > UNIX > Агент Dr.Web (вкладка "Конфигурация").

А именно, параметр UnwrapSsl изменить на Yes, а так же добавить правило "RuleSet1 =  : set Unwrap_SSL = true".

К примеру:

[LinuxFirewall]
OutputDivertEnable = Yes
InputDivertEnable = Yes
ForwardDivertEnable = Yes
InspectHttp = Yes
UnwrapSsl = Yes
RuleSet1 =  : set Unwrap_SSL = true
RuleSet1 = divert output : set HttpTemplatesDir = "output"
RuleSet1 = divert input : set HttpTemplatesDir = "input"
RuleSet1 = divert forward : set HttpTemplatesDir = "output"
RuleSet4 = protocol in (Http), direction request, url_host in "LinuxFirewall.Whitelist" : PASS
RuleSet5 = protocol in (Http), direction request, url_host in "LinuxFirewall.Blacklist" : BLOCK as BlackList

Для того, чтобы включить запрет сайтов ssl, не проверку - достаточно ли этих действий?

Не работает blacklist-инг доменов, любые сайты доступны.

Spoiler

[LinuxFirewall]
OutputDivertEnable = Yes
InputDivertEnable = Yes
ForwardDivertEnable = Yes
InspectHttp = Yes
UnwrapSsl = Yes
RuleSet1 = : set Unwrap_SSl = true
RuleSet1 = divert output : set HttpTemplatesDir = "output"
RuleSet1 = divert input : set HttpTemplatesDir = "input"
RuleSet1 = divert forward : set HttpTemplatesDir = "output"
RuleSet4 = protocol in (Http), direction request, url_host in "LinuxFirewall.Whitelist" : PASS
RuleSet5 = protocol in (Http), direction request, url_host in "LinuxFirewall.Blacklist" : BLOCK as BlackList
Blacklist = .ru
Blacklist = .org
Blacklist = .com
Whitelist = spacex.ru

 

в drweb.ini указаны все желаемые настройки, при этом настройки из конфигурация --> spider gate  в "cfshow LinuxFirewall" не попадают.

[dmitrii.s]

в drweb.ini указаны все желаемые настройки, при этом настройки из конфигурация --> spider gate  в "cfshow LinuxFirewall" не попадают.

Тогда можно попробовать так:

Удалите значения в whitelist и blacklist на странице (не забудьте сохранить изменения):

Антивирусная сеть > Название станции или группы станций > UNIX > SpIDer Gate (вкладка "Веб-фильтр")

 

Но укажите, пожалуйста, желаемые значения в редакторе ini на странице (сохраните изменения после редактирования):

Антивирусная сеть > Название станции или группы станций > UNIX > Агент Dr.Web (вкладка "Конфигурация").

К примеру:

Blacklist = .ru
Blacklist = .com
Whitelist = vk.com

Важно убедиться, что при вызове drweb-ctl cfshow LinuxFirewall на станции, в настройках присутствуют установленные Вами значения для черного и белого списков.

[kaktus]

 

в drweb.ini указаны все желаемые настройки, при этом настройки из конфигурация --> spider gate  в "cfshow LinuxFirewall" не попадают.

Тогда можно попробовать так:

Удалите значения в whitelist и blacklist на странице (не забудьте сохранить изменения):

Антивирусная сеть > Название станции или группы станций > UNIX > SpIDer Gate (вкладка "Веб-фильтр")

 

Но укажите, пожалуйста, желаемые значения в редакторе ini на странице (сохраните изменения после редактирования):

Антивирусная сеть > Название станции или группы станций > UNIX > Агент Dr.Web (вкладка "Конфигурация").

К примеру:

Blacklist = .ru
Blacklist = .com
Whitelist = vk.com

Важно убедиться, что при вызове drweb-ctl cfshow LinuxFirewall на станции, в настройках присутствуют установленные Вами значения для черного и белого списков.

 

и в такой конфигурации файервол не блокирует ниодин сайт.

[LinuxFirewall]
OutputDivertEnable = Yes
InputDivertEnable = Yes
ForwardDivertEnable = Yes
InspectHttp = Yes
UnwrapSsl = Yes
RuleSet1 =  : set Unwrap_SSl = true
RuleSet1 = divert output : set HttpTemplatesDir = "output"
RuleSet1 = divert input : set HttpTemplatesDir = "input"
RuleSet1 = divert forward : set HttpTemplatesDir = "output"
RuleSet4 = protocol in (Http), direction request, url_host in "LinuxFirewall.Whitelist" : PASS
RuleSet5 = protocol in (Http), direction request, url_host in "LinuxFirewall.Blacklist" : BLOCK as BlackList
Blacklist = .ru
Blacklist = .org
Blacklist = .com
Whitelist = spacex.ru

 

конфиг drweb-ctl cfsh LinuxFirewall

Spoiler

# drweb-ctl cfsh Linuxfirewall
LinuxFirewall.LogLevel = Notice
LinuxFirewall.Log = Auto
LinuxFirewall.ExePath = /opt/drweb.com/bin/drweb-firewall
LinuxFirewall.AutoconfigureIptables = Yes
LinuxFirewall.AutoconfigureRouting = Yes
LinuxFirewall.LocalDeliveryMark = Auto
LinuxFirewall.ClientPacketsMark = Auto
LinuxFirewall.ServerPacketsMark = Auto
LinuxFirewall.TproxyListenAddress = 127.0.0.1:0
LinuxFirewall.OutputDivertEnable = Yes
LinuxFirewall.OutputDivertNfqueueNumber = Auto
LinuxFirewall.OutputDivertConnectTransparently = No
LinuxFirewall.InputDivertEnable = Yes
LinuxFirewall.InputDivertNfqueueNumber = Auto
LinuxFirewall.InputDivertConnectTransparently = Yes
LinuxFirewall.ForwardDivertEnable = Yes
LinuxFirewall.ForwardDivertNfqueueNumber = Auto
LinuxFirewall.ForwardDivertConnectTransparently = No
LinuxFirewall.Whitelist = spacex.ru
LinuxFirewall.Blacklist = .ru
LinuxFirewall.Blacklist = .org
LinuxFirewall.Blacklist = .com
LinuxFirewall.InspectHttp = Yes
LinuxFirewall.InspectPop3 = Yes
LinuxFirewall.InspectImap = Yes
LinuxFirewall.InspectSmtp = Yes
LinuxFirewall.InspectFtp = Yes
LinuxFirewall.ExcludedProc =
LinuxFirewall.UnwrapSsl = Yes
LinuxFirewall.BlockUnchecked = No
LinuxFirewall.BlockInfectionSource = Yes
LinuxFirewall.BlockNotRecommended = Yes
LinuxFirewall.BlockAdultContent = No
LinuxFirewall.BlockViolence = No
LinuxFirewall.BlockWeapons = No
LinuxFirewall.BlockGambling = No
LinuxFirewall.BlockDrugs = No
LinuxFirewall.BlockObsceneLanguage = No
LinuxFirewall.BlockChats = No
LinuxFirewall.BlockTerrorism = No
LinuxFirewall.BlockFreeEmail = No
LinuxFirewall.BlockSocialNetworks = No
LinuxFirewall.BlockDueToCopyrightNotice = Yes
LinuxFirewall.BlockOnlineGames = No
LinuxFirewall.BlockAnonymizers = No
LinuxFirewall.BlockCryptocurrencyMiningPools = No
LinuxFirewall.BlockKnownVirus = Yes
LinuxFirewall.BlockSuspicious = Yes
LinuxFirewall.BlockAdware = Yes
LinuxFirewall.BlockDialers = Yes
LinuxFirewall.BlockJokes = No
LinuxFirewall.BlockRiskware = No
LinuxFirewall.BlockHacktools = No
LinuxFirewall.ScanTimeout = 30s
LinuxFirewall.HeuristicAnalysis = On
LinuxFirewall.PackerMaxLevel = 8
LinuxFirewall.ArchiveMaxLevel = 8
LinuxFirewall.MailMaxLevel = 8
LinuxFirewall.ContainerMaxLevel = 8
LinuxFirewall.MaxCompressionRatio = 500
LinuxFirewall.RuleSet0 =
LinuxFirewall.RuleSet1 = : set UnwrapSSL = true
LinuxFirewall.RuleSet1 = divert output : set HttpTemplatesDir = "output"
LinuxFirewall.RuleSet1 = divert input : set HttpTemplatesDir = "input"
LinuxFirewall.RuleSet1 = divert forward : set HttpTemplatesDir = "output"
LinuxFirewall.RuleSet2 =
LinuxFirewall.RuleSet3 =
LinuxFirewall.RuleSet4 = protocol in (Http), direction request, url_host in "LinuxFirewall.Whitelist" : PASS
LinuxFirewall.RuleSet5 = protocol in (Http), direction request, url_host in "LinuxFirewall.Blacklist" : BLOCK as BlackList
LinuxFirewall.RuleSet6 =
LinuxFirewall.RuleSet7 = protocol in (Http), direction request, url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
LinuxFirewall.RuleSet8 =
LinuxFirewall.RuleSet9 = protocol in (Http), divert input, direction request, threat_category in "LinuxFirewall.BlockThreat" : BLOCK as _match
LinuxFirewall.RuleSet9 = protocol in (Http), direction response, threat_category in "LinuxFirewall.BlockThreat" : BLOCK as _match
LinuxFirewall.RuleSet9 = protocol in (Smtp), threat_category in "LinuxFirewall.BlockThreat" : REJECT
LinuxFirewall.RuleSet9 = protocol in (Smtp), url_category in "LinuxFirewall.BlockCategory" : REJECT
LinuxFirewall.RuleSet9 = protocol in (Smtp), total_spam_score gt 0.80 : REJECT
LinuxFirewall.RuleSet9 = protocol in (Pop3, Imap), threat_category in "LinuxFirewall.BlockThreat" : REPACK as _match
LinuxFirewall.RuleSet9 = protocol in (Pop3, Imap), url_category in "LinuxFirewall.BlockCategory" : REPACK as _match
LinuxFirewall.RuleSet9 = protocol in (Pop3, Imap), total_spam_score gt 0.80 : REPACK as _match
LinuxFirewall.RuleSet10 =
LinuxFirewall.InterceptHook = local dwl = require 'drweb.lookup'
function intercept_hook(ctx)
-- do not check if group == Root.TrustedGroup
if ctx.divert == "output" and ctx.group == "drweb"
then
return "pass"
end
-- do not check connections from privileged ports
-- except FTP active mode
if ctx.src.port >= 0 and ctx.src.port <= 1024
and ctx.src.port ~= 20
then
return "pass"
end
return "check"
end

LinuxFirewall.XtablesLockPath =

[Igorn]

А после отправки настроек из ЦУ ЕС на станцию выполняли перезапуск Firefox?

[kaktus]

А после отправки настроек из ЦУ ЕС на станцию выполняли перезапуск Firefox?

У вас подобная конфигурация развернута где-то на стенде? Есть рабочая версия, настроек? Конфига простая, задействован только ини файл, не работает блокировка . 

Интернет отправляет в настройку squid для подобных целей, возможно он более гибкий и для этого предназначен. 

[dmitrii.s]

kaktus, добрый день.

 

У вас подобная конфигурация развернута где-то на стенде? Есть рабочая версия, настроек?

Да, подобная конфигурация существует, а пример настроек приведён в сообщениях выше.

Если проблемы с настройкой трафика продолжают существовать, могу посоветовать обратиться в техническую поддержку для более детальной диагностики и с целью получения рекомендаций по настройке.

Сообщение было изменено dmitrii.s: 25 Апрель 2023 - 09:27

[kaktus]

kaktus, добрый день.

 

У вас подобная конфигурация развернута где-то на стенде? Есть рабочая версия, настроек?

Да, подобная конфигурация существует, а пример настроек приведён в сообщениях выше.

Если проблемы с настройкой трафика продолжают существовать, могу посоветовать обратиться в техническую поддержку для более детальной диагностики и с целью получения рекомендаций по настройке.

отправил запрос в ЛС

[Kirill Polubelov]

отправил запрос в ЛС

Только техподдержка не видит запросов в ЛС dmitrii.s =)

Но видит тут: https://support.drweb.ru

Сообщение было изменено Kirill Polubelov: 26 Апрель 2023 - 13:06

[kaktus]

 

отправил запрос в ЛС

Только техподдержка не видит запросов в ЛС dmitrii.s =)

Но видит тут: https://support.drweb.ru

 

 

Без проблем оставить тикет - я описал проблему - получаем САВЗ по линии МО РФ, у нас нет email для того, чтоб заполнить форму. Серийник можно достать из файла активации, но с email проблема. Окажите пожалуйста содействие.

Странное исключение из правил, в чем проблема заглянуть в лс или тогда отключить их для юзеров.

[maxic]

kaktus, разница большая. На форуме мы все - частные лица. А частное лицо частному лицу конфиденциальную информацию передать не может. То есть - вы-то можете, конечно. Но сотрудники такого права не имеют.

[Afalin]

Без проблем оставить тикет - я описал проблему - получаем САВЗ по линии МО РФ, у нас нет email для того, чтоб заполнить форму. Серийник можно достать из файла активации, но с email проблема. Окажите пожалуйста содействие.

Когда САВЗ идёт по линии 8 управления, оно как-то вручную решается, что делать с конкретным контрагентом.

Сообщение было изменено Afalin: 27 Апрель 2023 - 09:10

[dmitrii.s]

kaktus, добрый день.

С учётом описанной Вами ситуации существует несколько вариантов:

Существует описание процедуры, в случае, когда неизвестен email-адрес, на который зарегистрирована лицензия: https://support.drweb.ru/show_faq/?question=11646&lng=ru
Кроме этого (как я уже упоминал ранее в личных сообщениях), Вы можете обратиться в организацию, которая ответственна за лицензию, в Вашем случае, видимо, это МО РФ.