SHAH0009 Posted December 30, 2016 Posted December 30, 2016 Здравствуйте Уважаемые пользователи форума! Всех с наступающим Новым годом. Всего Вам самого наилучшего! :) По делу: Есть прозрачный прокси squid на centos7, нужно сделать так что бы он фильтровал расширения (exe,mp3) и так далее. Сделал вот так: acl banned_ext urlpath_regex \.mp3$ \.mpg$ \.mpeg$ \.exe$ http_access deny banned_ext Получаю такой результат: захожу скажем на сайт https://putty.ru.softonic.com/download и вижу запрет на скачивание, все хорошо! Дальше иду на сайт bezprogramm.net и скачиваю скажем aimp3 и вижу то что скачивание разпрешено и файл с расширением .exe качается на пользовательскую машину, хотя этого не должно быть. Т.е. получается что где-то запрет работает где-то нет?! С другими типами файлов не проверял, поскольку закрывать остальное мультимедиа не особо имеет смысл если не закрыть .exe. Помогите пожалуйста разобраться в чем дело, может я чего не понимаю, заранее благодарен! в скриншоте конфиг самого squid`а P.S. если это имеет значение то сеть виртуальная, созданная с помощью virtual box и на клиенте прописаны адрес, маска и шлюз виртуальной сети а в днс прописан адрес домашнего роутера. просто на то что в днс прописан адрес роутера тоже думал, может из за этого. Вставить ник Quote
NiTr0 Posted December 30, 2016 Posted December 30, 2016 сделайте корректный регекс Вставить ник Quote
SHAH0009 Posted January 2, 2017 Author Posted January 2, 2017 сделайте корректный регекс а что не так, подскажите пожалуйста!? Вставить ник Quote
st_re Posted January 2, 2017 Posted January 2, 2017 В логе (в случае когда качатется) .exe в запросе есть? Вставить ник Quote
NiTr0 Posted January 2, 2017 Posted January 2, 2017 а что не так, подскажите пожалуйста!? то, что символы после $ смысла уже не имеют... Вставить ник Quote
[anp/hsw] Posted January 2, 2017 Posted January 2, 2017 А дело-то все в том, что имя файла не обязательно передается в url, оно еще может передаваться в заголовке "Content-Disposition: inline; filename=supervirus.exe", хотя вы можете зайти по безобидной ссылке типа "http://xxx.ru/about.html" Т.е. вам нужно еще и заголовки парсить, и фильтровать по filename. Вставить ник Quote
SHAH0009 Posted January 2, 2017 Author Posted January 2, 2017 ' timestamp='1483359829' post='1358650']А дело-то все в том, что имя файла не обязательно передается в url, оно еще может передаваться в заголовке "Content-Disposition: inline; filename=supervirus.exe", хотя вы можете зайти по безобидной ссылке типа "http://xxx.ru/about.html" Т.е. вам нужно еще и заголовки парсить, и фильтровать по filename. а как это сделать. просто с прозрачным squid работаю впервые, помогите пожалуйста! Вставить ник Quote
st_re Posted January 2, 2017 Posted January 2, 2017 ну для начала понять, что если Вася скачал файл ЛютикиЦветочки.jpg то никто не мешает потом переименовать в архив.rar и достать оттуда КраК.exe и запустить... (в принципе в большенстве случаев можно не переименовывать.) В общем случае 1. не на клиенте понять, что там тип файла качается может оказаться зартуднительным 2. https же... Всеми этими сквидами или делать белые списки или согласиться, что все черные можно обойти. если хочтеся както обезопасится именно на сквиде, то смотреть в сторону прикручивания антивирусов и там резать по типам файлов (испольнем ли файл для Windows определяется не столько расширением, сколько первыми байтами самого файла. Как и для многих других типов файлов.) Вставить ник Quote
[anp/hsw] Posted January 3, 2017 Posted January 3, 2017 а как это сделать. просто с прозрачным squid работаю впервые, помогите пожалуйста! ## ищем торрент либо по заголовку application/x-bittorrent, либо по имени аттача, либо по расширению в url acl torrent-rewrite-header rep_header Content-Type -i ^application/x-bittorrent$ acl torrent-rewrite-attachment rep_header Content-Disposition -i ^(.)*filename=(\"|)(.)*\.torrent(\"|)$ acl torrent-rewrite-urlpath urlpath_regex -i \.torrent$ Переделайте под .exe самостоятельно. Ну и https не забудьте заблокировать на шлюзе. Вставить ник Quote
^rage^ Posted January 3, 2017 Posted January 3, 2017 ' timestamp='1483442680' post='1358790']Переделайте под .exe самостоятельно. Ну и https не забудьте заблокировать на шлюзе. это означает "вырубить вообще всё нафиг". Вставить ник Quote
[anp/hsw] Posted January 3, 2017 Posted January 3, 2017 это означает "вырубить вообще всё нафиг". Ну у человека там люди работу работают, а не котиков рассматривают. Пусть тогда сделает через подмену сертификатов хоть. Вставить ник Quote
^rage^ Posted January 4, 2017 Posted January 4, 2017 ' timestamp='1483467027' post='1358887'] это означает "вырубить вообще всё нафиг". Ну у человека там люди работу работают, а не котиков рассматривают. Пусть тогда сделает через подмену сертификатов хоть. это какой-то детский сад и синдром вахтера. телефон с lte решает вопрос фильтрации на корню. Вставить ник Quote
[anp/hsw] Posted January 4, 2017 Posted January 4, 2017 Ну так мы и не цензуру устраиваем, это его личный интернет будет, что хочет пусть то и делает. Вставить ник Quote
myth Posted January 4, 2017 Posted January 4, 2017 Но за подключения телефона к рабочему компьютеру в серьезной конторе можно и работу потерять Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.