Проверить прозрачный SQUID с антивирусом

Dmitry · Регистрация: 09.09.2009

Студворк — интернет-сервис помощи студентам

Настроил SQUID + HAVP + ClamAV. Для проверки того, что связка работает нашел только лишь ссылку на сайт
http://www.eicar.org/anti_virus_test_file.htm
где лежит сигнатура вируса, которую можно попробовать скачать и вместо файла увидеть сообщение что "заблокирован доступ", т.к. обнаружен вирус. Есть ли какие-то другие ссылки, а то всего лишь одна проверка - не показатель...

@odip · 25.09.2009, 10:36

Этого теста достаточно чтобы проверить что вообще вся система работает.
Остальное уже зависит от работы антивируса.
А если тебе нужны реальные вирусы - сходи к юзерам на комп и попроси

Dmitry · 25.09.2009, 11:33 **[ТС]**

в данном случае нужно показать этим самым БУДУЩИМ (и не столько юзерам сколько клиентам), что оно работает.

@odip · 25.09.2009, 12:00

Ну так EICAR достаточно.
А если взять реальный вирус, тогда я сталкивался с тем что даже exe-ник открыть не получается или скопировать - его локальный антивирус на компе сразу удаляет

Dmitry · 25.09.2009, 12:08 **[ТС]**

Я просто думал, может еще какие-то есть ссылки на аналогичные тесты, а то всего одна. Гугла наверное уже достал форммулировками одного и того же вопроса. Но и он меня в ответ - или же только эта ссылка или же рекламные трактаты всех возможных антивирусов...

Dmitry · 27.09.2009, 21:36 **[ТС]**

что-то непойму я свой сквид. на указанной выше странице (http://www.eicar.org/anti_virus_test_file.htm) размещено 6 ссылок. Три верхние из них - ссылки на http, а три нижние - https. Три верхние вылавливаются HAVP и вместо них вываливается страница про то, что "доступ блокирован - вирус". А вот эти три нижние (https) - качаются. Получается, что https идет мимо моихсквидов с HAVP-ами...

Где рыться?

@odip · 27.09.2009, 21:46

А ты знаешь как работает https и как https проходит через squid ?
https - это защищенное соединение между клиентом (броузером) и www-сервером.
Разумеется никакой proxy не может получить доступ к информации между двумя первыми.
И вообще локальный антивирус в Windows никто не отменял

Или как вариант - запретить пропускать https через squid.

Добавлено через 5 минут
Попробовал у себя скачать эти тесты.
по http
два первых - Symantec дал облом.
два вторых - Symantec архивы дал скачать.
Но открыть архивы не дает - сразу удаляет распакованный файл.

по https
Такой же результат как по http.
Это понятно - я ведь с помощью броузера на диск записываю, Symantec как раз запись в файл и ловит.

Dmitry · 27.09.2009, 22:05 **[ТС]**

Сообщение от odip

А ты знаешь как работает https и как https проходит через squid ?

Вот и спрашиваю, что и где почитать, поискать.

Сквид поставлен (точнее переустановлен пол часа назад с нуля). В настройках пока все что сделал - определил сеть, которой разрешщено кеширование, включил русские сообщениея вместо английских, и сделал прокси "прозрачным".

Вообще было - прозрачный сквид, которому "родительским" прокси назначен HAVP, который при помощи clamav проверял файлы на вирусы. Но там в конфигах уже столько всего попеременял, что сам уже потерялся. Потому и начал все заново, чтоб "более осознанно".

(Кстати, у меня в старом варианте все три верхние ссылки (http) не проходили).

@odip · 27.09.2009, 22:16

http://ru.wikipedia.org/wiki/SSL
http://ru.wikipedia.org/wiki/OpenSSL
http://ru.wikipedia.org/wiki/HTTPS
http://ru.wikipedia.org/wiki/Proxy

Насчет https в proxy не нашел - поэтому тут напишу.

Только следует различать:
1) Обращение к самому proxy-серверу по протоколу HTTPS
2) Обращение к proxy-серверу, чтобы через него обратиться к HTTPS.
Последнее делается через метод CONNECT.
В этом случае squid ничего не кэширует.
Только открывает соединение на удаленный хост и прозрачно пропускает весь траффик.
Клиент (броузер) сам делает поверх этого SSL-канал, а поверх SSL пускает траффик HTTPS.
При этом весь траффик между броузером и www-сервером оказывается зашифрован.
И хотя squid имеет доступ к зашифрованному трафику, но расшировать и понять его он не может.

Добавлено через 1 минуту
Кстати метод CONNECT - вредная штука.
Через него можно пропускать не только HTTPS, а вообще любой TCP-траффик !

Dmitry · 27.09.2009, 22:37 **[ТС]**

Честно говоря,не вкурил я еще пока идею до понимания.
Задача такая - поставить "нечто" между локалкой и интернетом, чтобы это нечто проверяло на вирусы все, что пользователи локалки тянут из интернета. Понятное дело, что "абсолютно все" не получится, но желтельно по максимуму. Погуглив, увидел, что больше всего на эту тему вариантов звучит как
клиеты <-> прокси <-> интернет
На прокси ложатся самые разные задачи (от рулежки скоростью, до фильтрации по шаблонам). И на этом этапе самый первый вопрос (ламерский совсем) Трафик от пользователей в прокси "заворачивает" iptables ?

изначально я использовал скрипт отсюда (http://www.openkazan.info/node/3456):

Code
1
2
3
4
5
6
7
8
9
10
#!/bin/sh
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.2:3128

но с ним были какие-то проблемы FTP - оно тупо зависало...

@odip · 27.09.2009, 22:47

На прокси ложатся самые разные задачи (от рулежки скоростью, до фильтрации по шаблонам).

Да - через proxy лучше всего.

изначально я использовал скрипт отсюда

Вообще скрипт этот не очень нужен, но идея прозрачного proxy на Linux примерное так и делается.
Траффик на 80-ый порт заворачивается на squid.

С ftp всегда проблемы

Вообще я не делаю прозрачный squid.
Во-первых это нарушение работы броузеров.
Броузер при работе напрямую знает что он работает напрямую.
При работе через proxy он знает что работает через proxy и ведется себя соответственно.
А тут получается обман - броузер думает что работает напрямую.

Я делаю автоматическую настройку proxy через wpad.dat в Windows. Это работает в IE (по умолчанию включено). Это работает в Firefox (нужно включить в настройках автоконфигурирование proxy).

Вообще конечная цель примерно такая.
Нужно настроить правила firewall в обе стороны.
По умолчанию все запрещено !!!
Снаружи внутрь - только траффик от открытых наружу портов.
Изнутри наружи тоже все запрещено !!!
Но можно изнутри подключить к proxy-серверу.
Тогда весь траффик пользователей по определению пойдет через proxy.
Если пользователи привыкли без ограничений выходить наружу - будут проблемы.
Ведь все программы нужно настроить на работу через proxy !
Не только броузеры.
Каким-то программам нужно открыть доступ наружу.
Вообщем это довольно длительный процесс.
Я до сих пор исправляю правила firewall - приходится открывать порты изнутри наружу для каких-то целей.

Dmitry · 27.09.2009, 23:00 **[ТС]**

а есть какая нибудь дока по iptables на уровне доступном для кухарок? Почему-то во всех описаниях что встречал считается, что если автор написал два пример наборов символов, разделенных дефисаи, то я должен тут же все сообразить...

@odip · 27.09.2009, 23:19

Прикол в том, что кухарка в firewall не разберется - нужны глубокие знания.
У меня на роутерах pf на FreeBSD используется

Много документации прочитал и много разных способов построения правил делал.
На эту тему целым трактаты пишут - типа как правильно строить правила,
причем без относительно конкретного firewall.

Для iptables не знаю простой документации.
Но общий принцип построения быстрых правил примерное одинаков.
Лучше всего использовать statefull-firewall, который умеет делать статы/потоки/динамические_правила.
Основной TCP/UDP-траффик пропускается по этим статам.
А остальные правила либо разрешают либо запрещают создание статов.
Почти оригинальные правила из CentOS/RHEL.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Chain RH-Firewall-1-INPUT (2 references)
 pkts bytes target     prot opt in     out     source               destination
            ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
            ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 255
            ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0
            ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0
            ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.251         udp dpt:5353
            ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:631
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:631
            ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
            ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137
            ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:139
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:445
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
            REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Добавлено через 1 минуту
Основной траффик идет по строке где "state RELATED,ESTABLISHED".

Но это кстати не роутер, а просто сервер.
Для роутера нужно обрабатывать больше направлений.

Добавлено через 30 секунд
Вообще это нужно уже в отдельную темы выносить - Firewall

Dmitry · 28.09.2009, 11:13 **[ТС]**

Не, все равно до просветления еще далеко. (я про себя)

Хотя,
1. приведенный пример - насколько я понимю, только цепь Input,
2. Вроде как напоминает записи в Shotrwall...

...будем искать...

@odip · 28.09.2009, 11:17

все равно до просветления еще далеко.

Я этим много лет занимаюсь и тоже до полного просветления еще есть куда стремиться

приведенный пример - насколько я понимю, только цепь Input

Это цепь, вызываемая из INPUT.
Но ее вполне можно и прямо в INPUT запихать.

Вроде как напоминает записи в Shotrwall

Это вывод команды: iptables -n -L -v

Добавлено через 58 секунд
Для роутера еще нужно думать что писать в OUTPUT и FORWARD.
Это ведь не просто сервер, к которому доступ только с одной стороны.

Dmitry · 28.09.2009, 11:55 **[ТС]**

Вернемся к Вашей фразе про правиля файервола для шлюза с прозрачным прокси:

Сообщение от odip

Вообще скрипт этот не очень нужен,

Дело в том, что без его запуска прокси не работает (шлюз не выдает пользователям из внутренней сети ничего).

Я так понимаю, что комп из внутренней сети вводит адрес и его браузер начинает ломиться "куда-то" на 80-й порт. Единственное, куда он может попасть - сетевая плата шлюза, у которой пока не загружены КАКИЕ-ТО правила для КАКИХ-ТО действий на 80-м порту - просто дырка от бублика. То есть нужно назначить, что делать с "ломящимся". В том наборе правил, что я цитировал на предыдущей странице была строка (я е рубану на две):

iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.100.0/24 -p tcp
-m multiport --dport 80,8080 -j DNAT --to 192.168.1.1:3128

(единственное, я подставил айпи из моего варианта нумерации сетей у шлюза - 192.168.100.0/24 - внутренняя подсеть, а 192.168.1.1 - сетевая, через которую шлюз подключен в интернет)

Что я понимаю в этой строке, что весь трафик протокола tcp (-p tcp), который направлялся не в подсеть 192.168.100.0/24 (запись -d ! 192.168.100.0/24), пересылать (-j DNAT) на адрес порта прокси (--to 192.168.1.1:3128). Но вот смотрю на запись --dport 80,8080, и вижу, что там нет порта ФТП - 21. И как писал ранее, с ФТП как раз был полный облом при использовании этого скрипта. Добавляю к "80,8080" еще и 21, вот так --dport 80,8080,21 , а результат тот же самый - ФТП как не работало, так и не работает. С другой стороны, в списке напрочь отсутствует порт 443 (SSL), а секурные страницы открываются... И также с данным скриптом через шлюз не работает скайп.

И вообще дурацкий вопрос - чего PREROUTING?...

()ЗЫ. я нашел другой скрипт, с которым работает, но тупо сложить его и пользоваться - это одно, а вот понять - это другое, и хочется именно понять...)

Dmitry · 29.09.2009, 16:15 **[ТС]**

нашел iptables tutorial, копию сложил у себя
http://dmitrykhn.homedns.org/iptables-tutorial/
А также нашел еще такую статейку в блогах
http://easylinux.ru/node/190
вдруг кому полезно будет...

Новые блоги и статьи Все статьи Все блоги /
сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и источниками (напряжения, ЭДС и тока). Найти токи и напряжения во всех элементах. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и. . .

Dmitry 13440 / 7534 / 830 Регистрация: 09.09.2009 Сообщений: 29,554

	Проверить прозрачный SQUID с антивирусом 24.09.2009, 22:40. Показов 4910. Ответов 16 Метки нет (Все метки) Настроил SQUID + HAVP + ClamAV. Для проверки того, что связка работает нашел только лишь ссылку на сайт http://www.eicar.org/anti_virus_test_file.htm где лежит сигнатура вируса, которую можно попробовать скачать и вместо файла увидеть сообщение что "заблокирован доступ", т.к. обнаружен вирус. Есть ли какие-то другие ссылки, а то всего лишь одна проверка - не показатель... 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	25.09.2009, 10:36
	Этого теста достаточно чтобы проверить что вообще вся система работает. Остальное уже зависит от работы антивируса. А если тебе нужны реальные вирусы - сходи к юзерам на комп и попроси 1

Dmitry 13440 / 7534 / 830 Регистрация: 09.09.2009 Сообщений: 29,554
	25.09.2009, 11:33 [ТС]
	в данном случае нужно показать этим самым БУДУЩИМ (и не столько юзерам сколько клиентам), что оно работает. 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	25.09.2009, 12:00
	Ну так EICAR достаточно. А если взять реальный вирус, тогда я сталкивался с тем что даже exe-ник открыть не получается или скопировать - его локальный антивирус на компе сразу удаляет 0

Dmitry 13440 / 7534 / 830 Регистрация: 09.09.2009 Сообщений: 29,554
	25.09.2009, 12:08 [ТС]
	Я просто думал, может еще какие-то есть ссылки на аналогичные тесты, а то всего одна. Гугла наверное уже достал форммулировками одного и того же вопроса. Но и он меня в ответ - или же только эта ссылка или же рекламные трактаты всех возможных антивирусов... 0

Dmitry 13440 / 7534 / 830 Регистрация: 09.09.2009 Сообщений: 29,554
	27.09.2009, 21:36 [ТС]
	что-то непойму я свой сквид. на указанной выше странице (http://www.eicar.org/anti_virus_test_file.htm) размещено 6 ссылок. Три верхние из них - ссылки на http, а три нижние - https. Три верхние вылавливаются HAVP и вместо них вываливается страница про то, что "доступ блокирован - вирус". А вот эти три нижние (https) - качаются. Получается, что https идет мимо моихсквидов с HAVP-ами... Где рыться? 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	27.09.2009, 21:46
	А ты знаешь как работает https и как https проходит через squid ? https - это защищенное соединение между клиентом (броузером) и www-сервером. Разумеется никакой proxy не может получить доступ к информации между двумя первыми. И вообще локальный антивирус в Windows никто не отменял Или как вариант - запретить пропускать https через squid. Добавлено через 5 минут Попробовал у себя скачать эти тесты. по http два первых - Symantec дал облом. два вторых - Symantec архивы дал скачать. Но открыть архивы не дает - сразу удаляет распакованный файл. по https Такой же результат как по http. Это понятно - я ведь с помощью броузера на диск записываю, Symantec как раз запись в файл и ловит. 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	27.09.2009, 22:16
	http://ru.wikipedia.org/wiki/SSL http://ru.wikipedia.org/wiki/OpenSSL http://ru.wikipedia.org/wiki/HTTPS http://ru.wikipedia.org/wiki/Proxy Насчет https в proxy не нашел - поэтому тут напишу. Только следует различать: 1) Обращение к самому proxy-серверу по протоколу HTTPS 2) Обращение к proxy-серверу, чтобы через него обратиться к HTTPS. Последнее делается через метод CONNECT. В этом случае squid ничего не кэширует. Только открывает соединение на удаленный хост и прозрачно пропускает весь траффик. Клиент (броузер) сам делает поверх этого SSL-канал, а поверх SSL пускает траффик HTTPS. При этом весь траффик между броузером и www-сервером оказывается зашифрован. И хотя squid имеет доступ к зашифрованному трафику, но расшировать и понять его он не может. Добавлено через 1 минуту Кстати метод CONNECT - вредная штука. Через него можно пропускать не только HTTPS, а вообще любой TCP-траффик ! 0

Dmitry 13440 / 7534 / 830 Регистрация: 09.09.2009 Сообщений: 29,554
	27.09.2009, 23:00 [ТС]
	а есть какая нибудь дока по iptables на уровне доступном для кухарок? Почему-то во всех описаниях что встречал считается, что если автор написал два пример наборов символов, разделенных дефисаи, то я должен тут же все сообразить... 0

Dmitry 13440 / 7534 / 830 Регистрация: 09.09.2009 Сообщений: 29,554
	28.09.2009, 11:13 [ТС]
	Не, все равно до просветления еще далеко. (я про себя) Хотя, 1. приведенный пример - насколько я понимю, только цепь Input, 2. Вроде как напоминает записи в Shotrwall... ...будем искать... 0

Dmitry 13440 / 7534 / 830 Регистрация: 09.09.2009 Сообщений: 29,554
	29.09.2009, 16:15 [ТС]
	нашел iptables tutorial, копию сложил у себя http://dmitrykhn.homedns.org/iptables-tutorial/ А также нашел еще такую статейку в блогах http://easylinux.ru/node/190 вдруг кому полезно будет... 0