Форум программистов, компьютерный форум, киберфорум
Linux
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.50/22: Рейтинг темы: голосов - 22, средняя оценка - 4.50
Эксперт по компьютерным сетямЭксперт NIX
12191 / 7066 / 717
Регистрация: 09.09.2009
Сообщений: 27,630
1

Проверить прозрачный SQUID с антивирусом

24.09.2009, 22:40. Показов 4316. Ответов 16
Метки нет (Все метки)

Настроил SQUID + HAVP + ClamAV. Для проверки того, что связка работает нашел только лишь ссылку на сайт
http://www.eicar.org/anti_virus_test_file.htm
где лежит сигнатура вируса, которую можно попробовать скачать и вместо файла увидеть сообщение что "заблокирован доступ", т.к. обнаружен вирус. Есть ли какие-то другие ссылки, а то всего лишь одна проверка - не показатель...
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
24.09.2009, 22:40
Ответы с готовыми решениями:

Настроить squid в "прозрачный" режим прокси
Доброго времени суток всем. Не получается настроить squid в прозрачном режиме. Стоит Centos 6.7, 2...

Iptables + Squid (пустить юзера в обход squid'a)
Имеем: eth1 - смотрит наружу 1.2.3.4 eth0 - смотрит в локалку 192.168.0.0/24 Шлюз debian 8.3 ...

Почему прозрачный png в Visual Studio не прозрачный?
Можно ли с этим что-нибудь поделать?

Прозрачный блок, внутри его не прозрачный
Скажите пожалуйста, можно ли сделать <div opacity 0.5 цвет белый> <div opacity 1 цвет...

16
Эксперт С++
7175 / 3234 / 78
Регистрация: 17.06.2009
Сообщений: 14,165
25.09.2009, 10:36 2
Этого теста достаточно чтобы проверить что вообще вся система работает.
Остальное уже зависит от работы антивируса.
А если тебе нужны реальные вирусы - сходи к юзерам на комп и попроси
1
Эксперт по компьютерным сетямЭксперт NIX
12191 / 7066 / 717
Регистрация: 09.09.2009
Сообщений: 27,630
25.09.2009, 11:33  [ТС] 3
в данном случае нужно показать этим самым БУДУЩИМ (и не столько юзерам сколько клиентам), что оно работает.
0
Эксперт С++
7175 / 3234 / 78
Регистрация: 17.06.2009
Сообщений: 14,165
25.09.2009, 12:00 4
Ну так EICAR достаточно.
А если взять реальный вирус, тогда я сталкивался с тем что даже exe-ник открыть не получается или скопировать - его локальный антивирус на компе сразу удаляет
0
Эксперт по компьютерным сетямЭксперт NIX
12191 / 7066 / 717
Регистрация: 09.09.2009
Сообщений: 27,630
25.09.2009, 12:08  [ТС] 5
Я просто думал, может еще какие-то есть ссылки на аналогичные тесты, а то всего одна. Гугла наверное уже достал форммулировками одного и того же вопроса. Но и он меня в ответ - или же только эта ссылка или же рекламные трактаты всех возможных антивирусов...
0
Эксперт по компьютерным сетямЭксперт NIX
12191 / 7066 / 717
Регистрация: 09.09.2009
Сообщений: 27,630
27.09.2009, 21:36  [ТС] 6
что-то непойму я свой сквид. на указанной выше странице (http://www.eicar.org/anti_virus_test_file.htm) размещено 6 ссылок. Три верхние из них - ссылки на http, а три нижние - https. Три верхние вылавливаются HAVP и вместо них вываливается страница про то, что "доступ блокирован - вирус". А вот эти три нижние (https) - качаются. Получается, что https идет мимо моихсквидов с HAVP-ами...

Где рыться?
0
Эксперт С++
7175 / 3234 / 78
Регистрация: 17.06.2009
Сообщений: 14,165
27.09.2009, 21:46 7
А ты знаешь как работает https и как https проходит через squid ?
https - это защищенное соединение между клиентом (броузером) и www-сервером.
Разумеется никакой proxy не может получить доступ к информации между двумя первыми.
И вообще локальный антивирус в Windows никто не отменял
Или как вариант - запретить пропускать https через squid.

Добавлено через 5 минут
Попробовал у себя скачать эти тесты.
по http
два первых - Symantec дал облом.
два вторых - Symantec архивы дал скачать.
Но открыть архивы не дает - сразу удаляет распакованный файл.

по https
Такой же результат как по http.
Это понятно - я ведь с помощью броузера на диск записываю, Symantec как раз запись в файл и ловит.
0
Эксперт по компьютерным сетямЭксперт NIX
12191 / 7066 / 717
Регистрация: 09.09.2009
Сообщений: 27,630
27.09.2009, 22:05  [ТС] 8
Цитата Сообщение от odip Посмотреть сообщение
А ты знаешь как работает https и как https проходит через squid ?
Вот и спрашиваю, что и где почитать, поискать.

Сквид поставлен (точнее переустановлен пол часа назад с нуля). В настройках пока все что сделал - определил сеть, которой разрешщено кеширование, включил русские сообщениея вместо английских, и сделал прокси "прозрачным".

Вообще было - прозрачный сквид, которому "родительским" прокси назначен HAVP, который при помощи clamav проверял файлы на вирусы. Но там в конфигах уже столько всего попеременял, что сам уже потерялся. Потому и начал все заново, чтоб "более осознанно".

(Кстати, у меня в старом варианте все три верхние ссылки (http) не проходили).
0
Эксперт С++
7175 / 3234 / 78
Регистрация: 17.06.2009
Сообщений: 14,165
27.09.2009, 22:16 9
http://ru.wikipedia.org/wiki/SSL
http://ru.wikipedia.org/wiki/OpenSSL
http://ru.wikipedia.org/wiki/HTTPS
http://ru.wikipedia.org/wiki/Proxy

Насчет https в proxy не нашел - поэтому тут напишу.

Только следует различать:
1) Обращение к самому proxy-серверу по протоколу HTTPS
2) Обращение к proxy-серверу, чтобы через него обратиться к HTTPS.
Последнее делается через метод CONNECT.
В этом случае squid ничего не кэширует.
Только открывает соединение на удаленный хост и прозрачно пропускает весь траффик.
Клиент (броузер) сам делает поверх этого SSL-канал, а поверх SSL пускает траффик HTTPS.
При этом весь траффик между броузером и www-сервером оказывается зашифрован.
И хотя squid имеет доступ к зашифрованному трафику, но расшировать и понять его он не может.

Добавлено через 1 минуту
Кстати метод CONNECT - вредная штука.
Через него можно пропускать не только HTTPS, а вообще любой TCP-траффик !
0
Эксперт по компьютерным сетямЭксперт NIX
12191 / 7066 / 717
Регистрация: 09.09.2009
Сообщений: 27,630
27.09.2009, 22:37  [ТС] 10
Честно говоря,не вкурил я еще пока идею до понимания.
Задача такая - поставить "нечто" между локалкой и интернетом, чтобы это нечто проверяло на вирусы все, что пользователи локалки тянут из интернета. Понятное дело, что "абсолютно все" не получится, но желтельно по максимуму. Погуглив, увидел, что больше всего на эту тему вариантов звучит как
клиеты <-> прокси <-> интернет
На прокси ложатся самые разные задачи (от рулежки скоростью, до фильтрации по шаблонам). И на этом этапе самый первый вопрос (ламерский совсем) Трафик от пользователей в прокси "заворачивает" iptables ?

изначально я использовал скрипт отсюда (http://www.openkazan.info/node/3456):
Код
#!/bin/sh
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.2:3128
но с ним были какие-то проблемы FTP - оно тупо зависало...
0
Эксперт С++
7175 / 3234 / 78
Регистрация: 17.06.2009
Сообщений: 14,165
27.09.2009, 22:47 11
На прокси ложатся самые разные задачи (от рулежки скоростью, до фильтрации по шаблонам).
Да - через proxy лучше всего.

изначально я использовал скрипт отсюда
Вообще скрипт этот не очень нужен, но идея прозрачного proxy на Linux примерное так и делается.
Траффик на 80-ый порт заворачивается на squid.

С ftp всегда проблемы

Вообще я не делаю прозрачный squid.
Во-первых это нарушение работы броузеров.
Броузер при работе напрямую знает что он работает напрямую.
При работе через proxy он знает что работает через proxy и ведется себя соответственно.
А тут получается обман - броузер думает что работает напрямую.

Я делаю автоматическую настройку proxy через wpad.dat в Windows. Это работает в IE (по умолчанию включено). Это работает в Firefox (нужно включить в настройках автоконфигурирование proxy).

Вообще конечная цель примерно такая.
Нужно настроить правила firewall в обе стороны.
По умолчанию все запрещено !!!
Снаружи внутрь - только траффик от открытых наружу портов.
Изнутри наружи тоже все запрещено !!!
Но можно изнутри подключить к proxy-серверу.
Тогда весь траффик пользователей по определению пойдет через proxy.
Если пользователи привыкли без ограничений выходить наружу - будут проблемы.
Ведь все программы нужно настроить на работу через proxy !
Не только броузеры.
Каким-то программам нужно открыть доступ наружу.
Вообщем это довольно длительный процесс.
Я до сих пор исправляю правила firewall - приходится открывать порты изнутри наружу для каких-то целей.
0
Эксперт по компьютерным сетямЭксперт NIX
12191 / 7066 / 717
Регистрация: 09.09.2009
Сообщений: 27,630
27.09.2009, 23:00  [ТС] 12
а есть какая нибудь дока по iptables на уровне доступном для кухарок? Почему-то во всех описаниях что встречал считается, что если автор написал два пример наборов символов, разделенных дефисаи, то я должен тут же все сообразить...
0
Эксперт С++
7175 / 3234 / 78
Регистрация: 17.06.2009
Сообщений: 14,165
27.09.2009, 23:19 13
Прикол в том, что кухарка в firewall не разберется - нужны глубокие знания.
У меня на роутерах pf на FreeBSD используется
Много документации прочитал и много разных способов построения правил делал.
На эту тему целым трактаты пишут - типа как правильно строить правила,
причем без относительно конкретного firewall.

Для iptables не знаю простой документации.
Но общий принцип построения быстрых правил примерное одинаков.
Лучше всего использовать statefull-firewall, который умеет делать статы/потоки/динамические_правила.
Основной TCP/UDP-траффик пропускается по этим статам.
А остальные правила либо разрешают либо запрещают создание статов.
Почти оригинальные правила из CentOS/RHEL.
Код
Chain RH-Firewall-1-INPUT (2 references)
 pkts bytes target     prot opt in     out     source               destination
            ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
            ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 255
            ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0
            ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0
            ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.251         udp dpt:5353
            ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:631
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:631
            ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
            ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:137
            ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:138
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:139
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:445
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
            ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:443
            REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
Добавлено через 1 минуту
Основной траффик идет по строке где "state RELATED,ESTABLISHED".

Но это кстати не роутер, а просто сервер.
Для роутера нужно обрабатывать больше направлений.

Добавлено через 30 секунд
Вообще это нужно уже в отдельную темы выносить - Firewall
0
Эксперт по компьютерным сетямЭксперт NIX
12191 / 7066 / 717
Регистрация: 09.09.2009
Сообщений: 27,630
28.09.2009, 11:13  [ТС] 14
Не, все равно до просветления еще далеко. (я про себя)

Хотя,
1. приведенный пример - насколько я понимю, только цепь Input,
2. Вроде как напоминает записи в Shotrwall...

...будем искать...
0
Эксперт С++
7175 / 3234 / 78
Регистрация: 17.06.2009
Сообщений: 14,165
28.09.2009, 11:17 15
все равно до просветления еще далеко.
Я этим много лет занимаюсь и тоже до полного просветления еще есть куда стремиться
приведенный пример - насколько я понимю, только цепь Input
Это цепь, вызываемая из INPUT.
Но ее вполне можно и прямо в INPUT запихать.
Вроде как напоминает записи в Shotrwall
Это вывод команды: iptables -n -L -v


Добавлено через 58 секунд
Для роутера еще нужно думать что писать в OUTPUT и FORWARD.
Это ведь не просто сервер, к которому доступ только с одной стороны.
0
Эксперт по компьютерным сетямЭксперт NIX
12191 / 7066 / 717
Регистрация: 09.09.2009
Сообщений: 27,630
28.09.2009, 11:55  [ТС] 16
Вернемся к Вашей фразе про правиля файервола для шлюза с прозрачным прокси:
Цитата Сообщение от odip Посмотреть сообщение
Вообще скрипт этот не очень нужен,
Дело в том, что без его запуска прокси не работает (шлюз не выдает пользователям из внутренней сети ничего).

Я так понимаю, что комп из внутренней сети вводит адрес и его браузер начинает ломиться "куда-то" на 80-й порт. Единственное, куда он может попасть - сетевая плата шлюза, у которой пока не загружены КАКИЕ-ТО правила для КАКИХ-ТО действий на 80-м порту - просто дырка от бублика. То есть нужно назначить, что делать с "ломящимся". В том наборе правил, что я цитировал на предыдущей странице была строка (я е рубану на две):

iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.100.0/24 -p tcp
-m multiport --dport 80,8080 -j DNAT --to 192.168.1.1:3128

(единственное, я подставил айпи из моего варианта нумерации сетей у шлюза - 192.168.100.0/24 - внутренняя подсеть, а 192.168.1.1 - сетевая, через которую шлюз подключен в интернет)

Что я понимаю в этой строке, что весь трафик протокола tcp (-p tcp), который направлялся не в подсеть 192.168.100.0/24 (запись -d ! 192.168.100.0/24), пересылать (-j DNAT) на адрес порта прокси (--to 192.168.1.1:3128). Но вот смотрю на запись --dport 80,8080, и вижу, что там нет порта ФТП - 21. И как писал ранее, с ФТП как раз был полный облом при использовании этого скрипта. Добавляю к "80,8080" еще и 21, вот так --dport 80,8080,21 , а результат тот же самый - ФТП как не работало, так и не работает. С другой стороны, в списке напрочь отсутствует порт 443 (SSL), а секурные страницы открываются... И также с данным скриптом через шлюз не работает скайп.

И вообще дурацкий вопрос - чего PREROUTING?...

()ЗЫ. я нашел другой скрипт, с которым работает, но тупо сложить его и пользоваться - это одно, а вот понять - это другое, и хочется именно понять...)
0
Эксперт по компьютерным сетямЭксперт NIX
12191 / 7066 / 717
Регистрация: 09.09.2009
Сообщений: 27,630
29.09.2009, 16:15  [ТС] 17
нашел iptables tutorial, копию сложил у себя
http://dmitrykhn.homedns.org/iptables-tutorial/
А также нашел еще такую статейку в блогах
http://easylinux.ru/node/190
вдруг кому полезно будет...
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
29.09.2009, 16:15

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Работа с антивирусом
Доброго времени суток. С недавних пор занимаюсь передачей файлов через socket. Однако не могу...

Сканирование антивирусом
Доброго времени суток! Тут я заметил одну вещь: DrWeb сканирует почему-то долго, AVZ тоже. Утилиты...

не запускается с антивирусом
всем привет,извините если не туда написал, у меня не запускается антивирус AWS-core(лицензия),...

Проверка антивирусом
Что за недоверие к моим программам? Стоит антивирус Avast. Перед каждым запуском моей программы...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
17
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.