Jump to content
Калькуляторы

прозрачный squid, фильтрация типов фалов прозрачный squid, фильтрация типов фалов

Здравствуйте Уважаемые пользователи форума! Всех с наступающим Новым годом. Всего Вам самого наилучшего! :)

По делу: Есть прозрачный прокси squid на centos7, нужно сделать так что бы он фильтровал расширения (exe,mp3) и так далее.

Сделал вот так:

acl banned_ext urlpath_regex \.mp3$ \.mpg$ \.mpeg$ \.exe$

 

http_access deny banned_ext

 

Получаю такой результат: захожу скажем на сайт https://putty.ru.softonic.com/download и вижу запрет на скачивание, все хорошо!

Дальше иду на сайт bezprogramm.net и скачиваю скажем aimp3 и вижу то что скачивание разпрешено и файл с расширением .exe качается на пользовательскую машину, хотя этого не должно быть.

Т.е. получается что где-то запрет работает где-то нет?!

С другими типами файлов не проверял, поскольку закрывать остальное мультимедиа не особо имеет смысл если не закрыть .exe.

Помогите пожалуйста разобраться в чем дело, может я чего не понимаю, заранее благодарен! в скриншоте конфиг самого squid`аpost-131542-041710200 1483111368_thumb.png

P.S. если это имеет значение то сеть виртуальная, созданная с помощью virtual box и на клиенте прописаны адрес, маска и шлюз виртуальной сети а в днс прописан адрес домашнего роутера. просто на то что в днс прописан адрес роутера тоже думал, может из за этого.

Share this post


Link to post
Share on other sites

А дело-то все в том, что имя файла не обязательно передается в url, оно еще может передаваться в заголовке "Content-Disposition: inline; filename=supervirus.exe", хотя вы можете зайти по безобидной ссылке типа "http://xxx.ru/about.html"

 

Т.е. вам нужно еще и заголовки парсить, и фильтровать по filename.

Share this post


Link to post
Share on other sites

' timestamp='1483359829' post='1358650']

А дело-то все в том, что имя файла не обязательно передается в url, оно еще может передаваться в заголовке "Content-Disposition: inline; filename=supervirus.exe", хотя вы можете зайти по безобидной ссылке типа "http://xxx.ru/about.html"

 

Т.е. вам нужно еще и заголовки парсить, и фильтровать по filename.

а как это сделать. просто с прозрачным squid работаю впервые, помогите пожалуйста!

Share this post


Link to post
Share on other sites

ну для начала понять, что если Вася скачал файл ЛютикиЦветочки.jpg то никто не мешает потом переименовать в архив.rar и достать оттуда КраК.exe и запустить... (в принципе в большенстве случаев можно не переименовывать.)

 

В общем случае

1. не на клиенте понять, что там тип файла качается может оказаться зартуднительным

2. https же...

 

Всеми этими сквидами или делать белые списки или согласиться, что все черные можно обойти.

 

если хочтеся както обезопасится именно на сквиде, то смотреть в сторону прикручивания антивирусов и там резать по типам файлов (испольнем ли файл для Windows определяется не столько расширением, сколько первыми байтами самого файла. Как и для многих других типов файлов.)

Share this post


Link to post
Share on other sites

а как это сделать. просто с прозрачным squid работаю впервые, помогите пожалуйста!

 

## ищем торрент либо по заголовку application/x-bittorrent, либо по имени аттача, либо по расширению в url
acl torrent-rewrite-header      rep_header Content-Type -i ^application/x-bittorrent$
acl torrent-rewrite-attachment  rep_header Content-Disposition -i ^(.)*filename=(\"|)(.)*\.torrent(\"|)$
acl torrent-rewrite-urlpath     urlpath_regex -i \.torrent$

 

Переделайте под .exe самостоятельно. Ну и https не забудьте заблокировать на шлюзе.

Share this post


Link to post
Share on other sites

' timestamp='1483442680' post='1358790']

Переделайте под .exe самостоятельно. Ну и https не забудьте заблокировать на шлюзе.

это означает "вырубить вообще всё нафиг".

Share this post


Link to post
Share on other sites

это означает "вырубить вообще всё нафиг".

Ну у человека там люди работу работают, а не котиков рассматривают. Пусть тогда сделает через подмену сертификатов хоть.

Share this post


Link to post
Share on other sites

' timestamp='1483467027' post='1358887']

это означает "вырубить вообще всё нафиг".

Ну у человека там люди работу работают, а не котиков рассматривают. Пусть тогда сделает через подмену сертификатов хоть.

это какой-то детский сад и синдром вахтера. телефон с lte решает вопрос фильтрации на корню.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.