SHAH0009 Опубликовано 30 декабря, 2016 · Жалоба Здравствуйте Уважаемые пользователи форума! Всех с наступающим Новым годом. Всего Вам самого наилучшего! :) По делу: Есть прозрачный прокси squid на centos7, нужно сделать так что бы он фильтровал расширения (exe,mp3) и так далее. Сделал вот так: acl banned_ext urlpath_regex \.mp3$ \.mpg$ \.mpeg$ \.exe$ http_access deny banned_ext Получаю такой результат: захожу скажем на сайт https://putty.ru.softonic.com/download и вижу запрет на скачивание, все хорошо! Дальше иду на сайт bezprogramm.net и скачиваю скажем aimp3 и вижу то что скачивание разпрешено и файл с расширением .exe качается на пользовательскую машину, хотя этого не должно быть. Т.е. получается что где-то запрет работает где-то нет?! С другими типами файлов не проверял, поскольку закрывать остальное мультимедиа не особо имеет смысл если не закрыть .exe. Помогите пожалуйста разобраться в чем дело, может я чего не понимаю, заранее благодарен! в скриншоте конфиг самого squid`а P.S. если это имеет значение то сеть виртуальная, созданная с помощью virtual box и на клиенте прописаны адрес, маска и шлюз виртуальной сети а в днс прописан адрес домашнего роутера. просто на то что в днс прописан адрес роутера тоже думал, может из за этого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 30 декабря, 2016 · Жалоба сделайте корректный регекс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SHAH0009 Опубликовано 2 января, 2017 · Жалоба сделайте корректный регекс а что не так, подскажите пожалуйста!? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 2 января, 2017 · Жалоба В логе (в случае когда качатется) .exe в запросе есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 2 января, 2017 · Жалоба а что не так, подскажите пожалуйста!? то, что символы после $ смысла уже не имеют... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 2 января, 2017 · Жалоба А дело-то все в том, что имя файла не обязательно передается в url, оно еще может передаваться в заголовке "Content-Disposition: inline; filename=supervirus.exe", хотя вы можете зайти по безобидной ссылке типа "http://xxx.ru/about.html" Т.е. вам нужно еще и заголовки парсить, и фильтровать по filename. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SHAH0009 Опубликовано 2 января, 2017 · Жалоба ' timestamp='1483359829' post='1358650']А дело-то все в том, что имя файла не обязательно передается в url, оно еще может передаваться в заголовке "Content-Disposition: inline; filename=supervirus.exe", хотя вы можете зайти по безобидной ссылке типа "http://xxx.ru/about.html" Т.е. вам нужно еще и заголовки парсить, и фильтровать по filename. а как это сделать. просто с прозрачным squid работаю впервые, помогите пожалуйста! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 2 января, 2017 · Жалоба ну для начала понять, что если Вася скачал файл ЛютикиЦветочки.jpg то никто не мешает потом переименовать в архив.rar и достать оттуда КраК.exe и запустить... (в принципе в большенстве случаев можно не переименовывать.) В общем случае 1. не на клиенте понять, что там тип файла качается может оказаться зартуднительным 2. https же... Всеми этими сквидами или делать белые списки или согласиться, что все черные можно обойти. если хочтеся както обезопасится именно на сквиде, то смотреть в сторону прикручивания антивирусов и там резать по типам файлов (испольнем ли файл для Windows определяется не столько расширением, сколько первыми байтами самого файла. Как и для многих других типов файлов.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 3 января, 2017 · Жалоба а как это сделать. просто с прозрачным squid работаю впервые, помогите пожалуйста! ## ищем торрент либо по заголовку application/x-bittorrent, либо по имени аттача, либо по расширению в url acl torrent-rewrite-header rep_header Content-Type -i ^application/x-bittorrent$ acl torrent-rewrite-attachment rep_header Content-Disposition -i ^(.)*filename=(\"|)(.)*\.torrent(\"|)$ acl torrent-rewrite-urlpath urlpath_regex -i \.torrent$ Переделайте под .exe самостоятельно. Ну и https не забудьте заблокировать на шлюзе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 3 января, 2017 · Жалоба ' timestamp='1483442680' post='1358790']Переделайте под .exe самостоятельно. Ну и https не забудьте заблокировать на шлюзе. это означает "вырубить вообще всё нафиг". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 3 января, 2017 · Жалоба это означает "вырубить вообще всё нафиг". Ну у человека там люди работу работают, а не котиков рассматривают. Пусть тогда сделает через подмену сертификатов хоть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 4 января, 2017 · Жалоба ' timestamp='1483467027' post='1358887'] это означает "вырубить вообще всё нафиг". Ну у человека там люди работу работают, а не котиков рассматривают. Пусть тогда сделает через подмену сертификатов хоть. это какой-то детский сад и синдром вахтера. телефон с lte решает вопрос фильтрации на корню. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 4 января, 2017 · Жалоба Ну так мы и не цензуру устраиваем, это его личный интернет будет, что хочет пусть то и делает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 4 января, 2017 · Жалоба Но за подключения телефона к рабочему компьютеру в серьезной конторе можно и работу потерять Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...