- Прокси-сервер в pfSense антивирус и ... · pfSense мы рассказывали в прошлом обзоре. На всякий случай приведу

www.thin.kiev.ua - Прокси-сервер в pfSense антивирус и фильтры доступа ( SquidGuard )

Автор: 23.03.12 17:35 - Последнее обновление 05.09.12 09:37

Прокси-сервер в pfSense антивирус

и фильтры доступа ( SquidGuard ) На этот раз рассмотрим работу прокси-сервера в роутере pfSense совместно сантивирусом, а так же затронем тему ограничения доступа к сайтам различныхкатегорий. Естественно, что для решения этих задач, у вас уже должен работатьпрокси-сервер, как его настраивать в pfSenseмы рассказывали в прошлом обзоре. На всякий случай приведу быстрые ссылки на все предыдущие статьи про pfSense: Итак, для решения поставленной задачи нам нужно установить два пакета: HAVP antivirusи SquidGuard. Как это работает Изначально этого раздела не было в нашем обзоре, но учитывая комментарии нашихпостоянных читателей, мы решили внести некоторую ясность. Итак, вот схема (кликните для увеличения):

HAVP (антивирус) по сути является самостоятельным мини-прокси, который толькофильтрует вирусы. Для работы ему необходим отдельный порт (по умолчанию в pfSenseиспользуется 3125). Затем отфильтрованный трафик он отдает основномупрокси-серверу Squid, который работает через порт 3128. Этот трафик понеобходимости фильтруется контентным фильтром SquidGuard и после этого отдаетсякомпьютерам локальной сети. Как вы понимаете, такая многоступенчатая фильтрация

1 / 9

www.thin.kiev.ua - Прокси-сервер в pfSense антивирус и фильтры доступа ( SquidGuard )

Автор: 23.03.12 17:35 - Последнее обновление 05.09.12 09:37

требует определенных ресурсов, поэтому если pfSense установлен на слабую машину, выможете получить ощутимые тормоза при серфинге в интернете.

Настройка Антивируса Идем в меню ServicesAntivirus, затем переходим на закладку HTTP Proxy ивыставляем следующие опции: Enable- ставим галку. Это главный тумблер антивируса. Proxy Mode- Parent for Squid. Связываем его с нашим прокси-сервером. Proxy Interface- LAN. Указываем сетевой интерфейс, на котором он будет работать. Proxy port- оставляем по умолчанию, в моем примере 3125 language- Russian. Чтобы антивирус все свои сообщения для пользователей выводил на понятномязыке :)

Все параметры продублированы на скриншоте. После настройки не забываем нажатькнопку Save внизу страницы! Теперь переходим на закладку Settings. Эти настройкиуже не так важны, как на предыдущей закладке, но тем не менее выставить их непомешает. Первый параметр - частота обновления антивирусных баз. Я выставил 1 час, он вы можетевзять любое другое удобное значение.

2 / 9

www.thin.kiev.ua - Прокси-сервер в pfSense антивирус и фильтры доступа ( SquidGuard )

Автор: 23.03.12 17:35 - Последнее обновление 05.09.12 09:37

Второй параметр - Регион зеркала для обновления баз. Выставляйте ближайший к себе. И последнее что я сделал - включил логирование событий - галка Log.

Нажимаем кнопку Save. Проверка сопряжения с прокси-сервером. Переходим в меню ServicesProxy server и в первой закладке проматываем страницу всамый низ. В поле Custom Options у насдолжно появиться несколько записей про антивирус havp:

Если всё так, то нажимаем кнопку Save. Теперь переходим в меню StatusServices:

Нам здесь нужно убедиться, что службы havp и squid работают: статус должен бытьRunning. Если это не так, попробуйте нажать на кнопку Start (указал стрелкой наскриншоте). Если не поможет, перезагрузите pfSense через меню DiagnosticsReboot.Когда я настраивал у меня по непонятным для меня причинам служба havp запустиласьсама минут через 5 после перезагрузки роутера. //

3 / 9

www.thin.kiev.ua - Прокси-сервер в pfSense антивирус и фильтры доступа ( SquidGuard )

Автор: 23.03.12 17:35 - Последнее обновление 05.09.12 09:37

Проверка антивируса Есть специальный сайт, откуда можно "скачать" вирус. Наш HAVP должен его непропустить и сказать об этом пользователю. Вот вам ссылочка для проверки - http://www.rexswain.com/eicar.zip Попробуйте зайти по ней. В ответ у вас должно появиться следующее:

Шаблоны русских страниц ошибок, лежат тут /usr/local/share/examples/havp/templates/ru Настраиваем фильтры SquidGuard Для ограничения доступа к различным сайтам мы будем использовать фильтрSquidGuard. Настройка этого компонента производится в меню ServicesProxy filter.Для начала включаем черные списки - установите галку Blacklist, а затем в поле BlacklistURL добавьте адрес для загрузки черных списков (например http://www.shallalist.de/Downloads/shallalist.tar.gzлибо взять тут http://urlblacklist.com). /Нажимаем кнопку Saveвнизу страницы. После этих манипуляций идем в закладку

4 / 9

www.thin.kiev.ua - Прокси-сервер в pfSense антивирус и фильтры доступа ( SquidGuard )

Автор: 23.03.12 17:35 - Последнее обновление 05.09.12 09:37

Blacklistи жмем кнопку Download, чтобы скачать черные списки.

После скачивания SquidGuard перестроит базу известных ему сайтов, что может занятьнекоторое время. На моей относительно не слабой машине это заняло порядка 5-7минут, а на сайте разработчика вообще написано, что этот процесс может занять дополучаса. По завершению этого чудного процесса вы должны получить надпись "Blacklistupdate complete".

Теперь возвращаемся в закладку General Settings, выставляем галку Enable, можноактивировать все галки логирования событий. Затем жмем Saveвнизу. В итоге должно получиться вот так:

5 / 9

www.thin.kiev.ua - Прокси-сервер в pfSense антивирус и фильтры доступа ( SquidGuard )

Автор: 23.03.12 17:35 - Последнее обновление 05.09.12 09:37

После включения фильтра весь трафик будет блокироваться. Чтобы это исправить -идем в настройки по умолчанию, за которые отвечает закладка Common ACL. Таместь надпись Target Rules List, выделенная красным. Если по ней нажать, то раскроется список категорий сайтов,которые входят в blacklist. Напротив каждой категории можно выставить следующиезначения: - ----- - не обрабатывать фильтром - whitelist - не блокировать никогда, даже если перекрывается другими правилами - deny - запрещать - allow - разрешать В самом конце списка будет категория Default access (доступ по умолчанию). Мырекомендуем поставить там allow , ана "нужных" категориях ставить deny. Тем самым по умолчанию мы разрешим доступ куда угодно за исключениемзапрещенных категорий. Каждый раз когда вы будете менять доступ до категорий незабывайте нажимать Saveвнизу и кнопку Applyв закладке General settings. Важное замечание: после нажатия кнопки Apply фильтр перенастраиваетсянесколько минут, поэтому не торопитесь сразу проверять изменения. Типовые задачи для фильтра SquidGuard 1. Ограничить доступ по времени Для этого сначала нужно определить временные интервалы. Это делается в закладке

Times. При добавлении временного интервала его название не должно содержатьпробелы. В нашем примере мы сделали сложный интервал. По будням доступ разрешен с8 до 18, а в выходные с 9 до 15.

Вы можете создать сколько угодно временных интервалов, затем их применять впользовательских списках доступа. 2. Индивидуальные настройкикатегорий для компа Это делается в закладке Groups ACL. Сделаем одно правило для админского компа.

6 / 9

www.thin.kiev.ua - Прокси-сервер в pfSense антивирус и фильтры доступа ( SquidGuard )

Автор: 23.03.12 17:35 - Последнее обновление 05.09.12 09:37

Назовеем правило adminPC, укажем его IP-адрес, в ниспадающем списке Timeпри желании можно указать временной интервал из предварительно созданных на шаге1.

Категории сайтов при разворачивании у нас будут представлены двумя столбцами.Левый столбец определяет фильтрацию категорий в установленном нами временноминтервале, а правый столбец наоборот - в остальное время.

Нажимаем Save. Созданные правила можно редактировать, выключать, удалять.Чтобы выключить какое-либо правило надо зайти в него,

установить саму первую галку - Disabled и сохранить правило.

3. Как добавить какой-либо сайт в белый список В закладке Target Categories создаем новую категорию, куда добавляем нужные нам

7 / 9

www.thin.kiev.ua - Прокси-сервер в pfSense антивирус и фильтры доступа ( SquidGuard )

Автор: 23.03.12 17:35 - Последнее обновление 05.09.12 09:37

домены и/или нужные ссылки. Если у нас несколько адресов или доменов, то их можновписать через пробел.

После создания категории, оно появится в общем списке категорий. Установите длянее режим доступа whitelist.

4. Как запретить загрузку файлов определенных типов Создаем еще одну категорию, где в поле Extension вводим специальное регулярноевыражение вида: (.*/.*.(asf|wm|wma|wmv|zip|rar|mp3|avi|mpg|mpeg|mpv|mp3|vpu)) Список запрещаемых расширений файлов можете отредактировать сами. В итоге у васдолжно получиться вот так:

Далее настраиваете режим доступа для созданной категории и дело в шляпе. Самоеглавное на забывайте нажать кнопку Apply в закладке General Settings после всех

8 / 9

www.thin.kiev.ua - Прокси-сервер в pfSense антивирус и фильтры доступа ( SquidGuard )

Автор: 23.03.12 17:35 - Последнее обновление 05.09.12 09:37

манипуляций. На этом пока всё. Удачи в освоении, ждем ваших комментариев!

источник: http://macrodmin.blogspot.com/2012/01/pfsense-2.html ссылка на материал:http://thin.kiev.ua/index.php?option=com_content&view=article&id=549:hav&catid=50:pfsense&Itemid=81 {jcomments on}

9 / 9