Тема достаточно избитая, но у E2Guardian — форка Dansguardian, появились новые возможности, и теперь эту связку можно настроить несколько красивее. Сразу скажу что в плане SSL трафика все стало намного лучше.++ Теория.
Прокси сервер Squid хорошо работает в режиме SSL bump, раскрывая SSL соединение и получая доступ к его содержимому. Далее он может это содержимое отдать на проверку ICAP серверу по протоколу icap://. Еще раз поясним, что в этот момент контент уже не шифрован, а plain.
Раньше использовали сервер C-icap с бэкендами (как правило с одним только Clamav или другим AV) для дальнейшего сканирования. Для сканирования контента на фразы по icap:// не было бесплатной реализации, а Dansguardian использовался как каскадный Proxy, и не имел доступа к SSL содержимому (или я ошибаюсь, поправьте меня).
Dansguardian заброшен с 2012 года, но нашлись люди, который сделали форк под наименованием E2guardian. В него добавили функциональность работы в режиме ICAP сервера.То есть теперь на текущий момент Squid может отдавать раскрытый SSL трафик прямо в E2guardian по протоколу icap://. E2guardian в свою очередь может сканировать трафик по фразам, а также он унаследовал возможность отдавать его на проверку в Clamav на вирусы. Получается достаточно красивая связка Squid =icap://=> E2guardian => Clamav.
++ Сборка.
Я собираю все в Slackware64-current (просто у меня дома сейчас так). Сборка не интересна, слакваристы сами умеют это делать, и отнимает много времени. Кому все таки надо, вот мой [[http://www.tinyware.ru/extra/Squid-E2guardian-Clamav.SlackBuild build]].
Итак мы получили 3 пакета:
squid-4.6-x86_64-2.txz
clamav-0.101.2-x86_64-2.txz
e2guardian-5.3-x86_64-2Я установил их в chroot /opt/SEC-server и установил туда окружение с нужными зависимостями.
Настройку описывать не буду, потому что это совет, а не инструкция.
Предлагаю скачать готовый 64-битный [[http://www.tinyware.ru/extra/Squid-E2guardian-Clamav-x86_64-... chroot]], он не замусорит систему. Необходимо сгенерить и установить ключ с сертификатом и установить в etc/squid, а также поправить etc/resolv.conf и etc/hosts. Сертификат устанавливается также на каждую рабочую станцию в корневые центры сертификации.
++ Тесты.
Тесты на вирусы: [[https://www.eicar.org/?page_id=3950 https://www.eicar.org/?page_id=3950]]. Проверяем и SSL и Plain ссылки.
Тест на большой файл с вирусом: [[http://www.tinyware.ru/clamav-testfiles/bigfile bigfile]]
Тест на фразы [[https://www.google.ru/search?newwindow=1&source=hp&ei=XCgbXZ... Google: анонимные прокси]]
URL:
Обсуждается: http://www.opennet.me/tips/info/3110.shtml
Есть ещё пропиетарный платный icap контент-фильтр сервер Diladele Web Safety. Но я ещё не раскурил. Есть сложности в Slack.
Управление - правка cfg & killall -HUP e2guardian.
>Далее он может это содержимое отдать напроверку ICAP серверу по протоколу icap://. Еще раз поясним, что в этот момент
контент уже не шифрован, а plain.А может, ведь, и по icaps:// отдавать...
Если имеется ladp/ad , то какую используешь аутентификацию в своей связки?
гуглим pfsense + pf2adP.s. forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense-и-все-все-все
Я бы установил Samba и ввёл в домен. А потом прикрутил бы аутентификации через pam_winbind. Включая winbind в домен ты получишь и пользователей в системе и группы и аутентификации.
> Я бы установил Samba и ввёл в домен. А потом прикрутил бы
> аутентификации через pam_winbind. Включая winbind в домен ты получишь и
> пользователей в системе и группы и аутентификации.Я не стал ы заморачивться на голый цербер или лдап. Интеграция самбы с доменом очень хороша.
У меня вопрос состоял в другом - какую схему аутентификацию использует автор в связки с E2guardian если имеется/используется у него домен.
> У меня вопрос состоял в другом - какую схему аутентификацию использует автор
> в связки с E2guardian если имеется/используется у него домен.Я не понимаю, аутентифицирует только squid,... этот вопрос я не разбирал... Был бы продакшен, я бы исследовал это, а так для домашнего прокси сервера мне не надо.
Clamav? Шутка юмора что ли? AV, который пропускает > 25% in the wild malware.// b.
https://www.linux.org.ru/forum/security/14986716?lastmod=156...Базы надо ставить дополнительные!
> Clamav? Шутка юмора что ли? AV, который пропускает > 25% in the
> wild malware.
> // b.t2guardian умеет другие антивирусы, в т.ч. касперского.
У вас ещё и Slack на сервере? Вы, батенька, вращенец.
Can you please create any kind of docker container or better docker-complse file for this applications ?
Squid, Slackware... какой сейчас год? :)
2019. И на сквид я минимум пару раз нарывался у весьма крупных ИСП.
Эти крупные ISP просто купили солюшн для фильтрации трафика, который через ICAP работает, там кроме Сквида это никто не умеет.Я этот солюшн разрабатывал, поэтому знаю, что они б его выкинули, если бы было, на что заменить. Со сквидом есть проблемы, и в масштабируемости, и в «угадай, какая из трёх версий будет работать». Ну не умеют ни nginx, ни HAProxy в ICAP, а у той системы архитектуру не меняли с 11 года (когда выкинули firebird, хехе).
> Squid, Slackware... какой сейчас год? :)Ну я же сказал, Slackware просто установил дома понастальгировать, поэтому на ней, ну и вообще люблю слакеров, поэтому для них.
А зачем SQUID, если сам e2guardian умеет SSL bump ?
Простите, разве e2guardian сам умеет интернет? Честно, я не знал. Или ему все равно нужен squid как каскад в интернет.
С недавних пор - уже каскад не нужен. Но пока не умеет совсем в ipv6. Патчи от dansguardian уже не работают, новых нет.
Оно может налету менять содержимое страниц?Надо чтобы перед проверкой на вири в clamav могло удалять из страниц известные вирусы.
Очень надо сервак с поддержкой icap для измерения страниц на лету. Без него проверка ClamAV, с нормальными базами, режит почти весь runet.
Раз уж здесь такая тема, подскажите. Купил прокси. раньше всё работало. Сейчас оплатил опять, ничего не работает.
Написал в поддержку, с их стороны всё работает. В чём может быть причина?
У меня есть подозрение, что это не стёб