[SHAH0009]

Здравствуйте Уважаемые пользователи форума! Всех с наступающим Новым годом. Всего Вам самого наилучшего! :)

По делу: Есть прозрачный прокси squid на centos7, нужно сделать так что бы он фильтровал расширения (exe,mp3) и так далее.

Сделал вот так:

acl banned_ext urlpath_regex \.mp3$ \.mpg$ \.mpeg$ \.exe$

 

http_access deny banned_ext

 

Получаю такой результат: захожу скажем на сайт https://putty.ru.softonic.com/download и вижу запрет на скачивание, все хорошо!

Дальше иду на сайт bezprogramm.net и скачиваю скажем aimp3 и вижу то что скачивание разпрешено и файл с расширением .exe качается на пользовательскую машину, хотя этого не должно быть.

Т.е. получается что где-то запрет работает где-то нет?!

С другими типами файлов не проверял, поскольку закрывать остальное мультимедиа не особо имеет смысл если не закрыть .exe.

Помогите пожалуйста разобраться в чем дело, может я чего не понимаю, заранее благодарен! в скриншоте конфиг самого squid`а

P.S. если это имеет значение то сеть виртуальная, созданная с помощью virtual box и на клиенте прописаны адрес, маска и шлюз виртуальной сети а в днс прописан адрес домашнего роутера. просто на то что в днс прописан адрес роутера тоже думал, может из за этого.

[NiTr0]

сделайте корректный регекс

[SHAH0009]

сделайте корректный регекс

а что не так, подскажите пожалуйста!?

[st_re]

В логе (в случае когда качатется) .exe в запросе есть?

[NiTr0]

а что не так, подскажите пожалуйста!?

то, что символы после $ смысла уже не имеют...

[[anp/hsw]]

А дело-то все в том, что имя файла не обязательно передается в url, оно еще может передаваться в заголовке "Content-Disposition: inline; filename=supervirus.exe", хотя вы можете зайти по безобидной ссылке типа "http://xxx.ru/about.html"

 

Т.е. вам нужно еще и заголовки парсить, и фильтровать по filename.

[SHAH0009]

' timestamp='1483359829' post='1358650']

А дело-то все в том, что имя файла не обязательно передается в url, оно еще может передаваться в заголовке "Content-Disposition: inline; filename=supervirus.exe", хотя вы можете зайти по безобидной ссылке типа "http://xxx.ru/about.html"

 

Т.е. вам нужно еще и заголовки парсить, и фильтровать по filename.

а как это сделать. просто с прозрачным squid работаю впервые, помогите пожалуйста!

[st_re]

ну для начала понять, что если Вася скачал файл ЛютикиЦветочки.jpg то никто не мешает потом переименовать в архив.rar и достать оттуда КраК.exe и запустить... (в принципе в большенстве случаев можно не переименовывать.)

 

В общем случае

1. не на клиенте понять, что там тип файла качается может оказаться зартуднительным

2. https же...

 

Всеми этими сквидами или делать белые списки или согласиться, что все черные можно обойти.

 

если хочтеся както обезопасится именно на сквиде, то смотреть в сторону прикручивания антивирусов и там резать по типам файлов (испольнем ли файл для Windows определяется не столько расширением, сколько первыми байтами самого файла. Как и для многих других типов файлов.)

[[anp/hsw]]

а как это сделать. просто с прозрачным squid работаю впервые, помогите пожалуйста!

 

## ищем торрент либо по заголовку application/x-bittorrent, либо по имени аттача, либо по расширению в url
acl torrent-rewrite-header      rep_header Content-Type -i ^application/x-bittorrent$
acl torrent-rewrite-attachment  rep_header Content-Disposition -i ^(.)*filename=(\"|)(.)*\.torrent(\"|)$
acl torrent-rewrite-urlpath     urlpath_regex -i \.torrent$

 

Переделайте под .exe самостоятельно. Ну и https не забудьте заблокировать на шлюзе.

[^rage^]

' timestamp='1483442680' post='1358790']

Переделайте под .exe самостоятельно. Ну и https не забудьте заблокировать на шлюзе.

это означает "вырубить вообще всё нафиг".

[[anp/hsw]]

это означает "вырубить вообще всё нафиг".

Ну у человека там люди работу работают, а не котиков рассматривают. Пусть тогда сделает через подмену сертификатов хоть.

[^rage^]

' timestamp='1483467027' post='1358887']

это означает "вырубить вообще всё нафиг".

Ну у человека там люди работу работают, а не котиков рассматривают. Пусть тогда сделает через подмену сертификатов хоть.

это какой-то детский сад и синдром вахтера. телефон с lte решает вопрос фильтрации на корню.

[[anp/hsw]]

Ну так мы и не цензуру устраиваем, это его личный интернет будет, что хочет пусть то и делает.

[myth]

Но за подключения телефона к рабочему компьютеру в серьезной конторе можно и работу потерять