Setarea calmarului

În acest articol vom discuta cum să instalați și să configurați serverul proxy cache SQUID împreună cu HAVP (HTTP Anti Virus Proxy). Ca rezultat, vom obține niște economii privind traficul, viteza (în cazul în care pagina se află deja în cache-ul proxy) și verificarea conținutului descărcat cu modulul clamav anti-virus. Desigur, aceasta este o opțiune oarecum bugetară, iar soluția este potrivită pentru uz casnic și în organizații mici, unde nu există posibilitatea de a achiziționa o soluție comercială și mai funcțională. Deși, împreună cu IDC Snort și un firewall configurat corect, cred că 90-95% din "contagiunea" de a reflecta asupra gateway-ului este destul de realistă. Deci, să începem.

Configurarea HAVP.

Accesați fila Services-Antivirus și accesați meniul de setări HTTP Anti Virus Proxy.

permiteți activarea sau dezactivarea proxy-ului.

Modul proxy în cazul nostru trebuie să fie setat ca părinte pentru calmar (mamă pentru calmar)

Interfețele proxy sunt setate la LAN.

Am ales 8080 pentru portul proxy.

Blocați fișierul în cazul scanării erorilor, bifați această opțiune pentru a bloca fișierele pe care modulul anti-virus nu le-a putut scana.

Activați discul RAM Activarea acestei opțiuni va utiliza memoria RAM ca spațiu de stocare pentru fișierele havp temporare. Cu o cantitate suficientă de RAM liber, puteți obține o anumită viteză în scanare. În consecință, dacă nu există suficientă memorie liberă, nu se recomandă includerea acestui parametru.

Dimensiunea fișierului de scanare max determină dimensiunea maximă a fișierului pe care havp o va scana înainte de a fi returnată utilizatorului. Aici puteți lăsa parametrul implicit (5000K). Dimensiunea fișierului are sens să crească dacă resursele hardware ale gateway-ului permit acest lucru, iar utilizatorii deseori descarcă fișiere mai mari. Deși personal, opinia mea, nu este recomandabil să crească acest parametru.

Scanați imaginile, acest parametru este responsabil pentru scanarea fotografiilor pe pagini, prin urmare includerea acestui parametru crește securitatea, dar reduce procesul de scanare. Acest parametru este mai bine de inclus.

Syslog, jurnalul include înregistrarea evenimentelor, activați aceste opțiuni dacă urmăriți jurnalele havp. în general, cred că nu va fi prea mult, cel puțin să știi cum funcționează pachetul.
Pentru a aplica setările, faceți clic pe SAVE.

Scaner de fișiere:
Scanarea unui fișier sau a unui director, specificați calea și faceți clic pe Start scanare. Ca obiect de scanare, puteți seta trei directoare implicite.

Setări:
Baze de date AV Actualizare utilizând lista derulantă selectați intervalul de timp pentru actualizarea bazei de date antivirus.
Selectați oglinda actualizărilor - rusă.
Syslog, Logging logging.

Pentru a aplica setările, faceți clic pe SAVE, apoi actualizați baza de date antivirus - UPDATE_AV.

Configurarea SQUID.

Accesați fila Server servicii-Proxy și accesați meniul Setări generale.
Setări generale:

Proxy-ul intră în interfața pe care ascultă proxy-ul, în cazul nostru este LAN.

Permiteți utilizatorilor din interfață să permită această opțiune să permită accesul la proxy pentru utilizatorii care intră în aceeași subrețea cu interfața specificată în parametrul introface Proxy.

Transparent Proxy acest parametru permite un mod proxy transparent, în acest mod nu este nevoie să reconstruiți software-ul pe partea clientului. În pf, se creează o regulă pentru redirecționarea cererilor utilizatorilor către portul proxy "listening".

Activarea înregistrării permite logarea.

Suppress Squid Version permite această opțiune pentru a dezactiva ieșirea versiunii calmarului în anteturile paginilor de eroare http și html.

Opțiunile personalizate sunt opțiuni suplimentare în care trebuie să le spunem squid să folosească ca proxy părinte (proxy) havp. Dacă ați "urmat pașii mei", atunci ar trebui să aveți acest lucru în acest domeniu:

Dacă acest câmp este gol, apăsați SAVE, din nou mergeți la Services-Antivirus. în fila Proxy HTTP, salvăm din nou setările apăsând pe SAVE și revenind la setările de squid. Acum trebuie completat câmpul Opțiuni personalizate, salvând apăsând pe SAVE.

Proxy în amonte:

Aici este configurat redirecționarea către proxy-ul din amonte. Lăsăm acest element neschimbat.

Dimensiunea spațiului cache al hard disk-ului este dimensiunea cache-ului de disc. Acest parametru poate varia în funcție de numărul de utilizatori ai serverului proxy. Pentru casă, parametrul va fi de 100-500 MB. pentru o organizație mică de 1GB. și mai sus.

Dispozitivul de stocare a cache-ului pentru sistemul de stocare cache al hard diskului, puteți lăsa implicit.

Memoria cache-ului de memorie Acest parametru specifică cantitatea de memorie pe care calmarul o va utiliza în timpul tranzitării obiectelor. Acest parametru nu trebuie să depășească 50% din memoria RAM fizică totală. Valoarea minimă este de 1 MB. Aici totul depinde de mărimea memoriei fizice disponibile, dacă există suficientă memorie, creștem valoarea implicită.

Obiectele cu dimensiuni obiect minime mai mici decât dimensiunea specificată nu vor fi stocate în cache. Valoarea implicită de 0 este aproape întotdeauna adevărată.

Obiectele de dimensiuni obiect maxime mai mari decât valoarea specificată în kilobyte nu vor fi stocate în cache. Cu cât este mai mică această valoare, cu atât este mai mare cantitatea de trecere. Cred că are sens să punem această valoare în 500kb. Caching pagini și grafică va fi de ajuns. Dacă în plus față de paginile din memoria cache ar trebui să fie stocate diferite fișiere, acest parametru poate fi supraevaluat până la mai mulți gigaocteți, fără a uita să crească mărimea cache-ului propriu-zis în parametrul Dimensiune cache hard disk.

Nivelul 1 subdirectoare nivel de cuibărire a subdirectoarelor într-un director al cache-ului de disc. Cu cât acest cuibărire este mai mare, cu atât proxy-ul începe mai devreme, dar procesul de cache este mai rapid. Am setat valoarea la 256.

Politica de înlocuire a politicii este politica de ștergere a unui obiect din memorie atunci când este necesar. Lăsați valoarea implicită.

Politica de înlocuire a cache-urilor este o politică care determină ce obiecte sunt lăsate în memoria cache și care sunt eliminate pentru a face loc celor noi.

Parametrii rămași pot fi, de asemenea, lăsați în mod prestabilit.
Faceți clic pe Salvare și salvați setările.

Dimensiunea maximă a descărcării este dimensiunea fișierului maxim pentru descărcare (în kilobyte).

Dimensiunea maximă a dimensiunii de încărcare a fișierului maxim permis pentru încărcarea pe un server la distanță (în kilobyte).

Lățimea totală de bandă care limitează limita de bandă (kb / s) a descărcării pentru utilizatori.

Per-gazdă stropirea limitei de lățime de bandă pentru fiecare gazdă.

Opțiunea de extensie specifică numai pentru clavier, care include restricții de încărcare a fișierelor în funcție de tipul acestora. Dezactivarea acestei opțiuni nu vă va permite să filtrați fișierele după tipul de squid.

Fișierele binare de bord care permit această opțiune blochează încărcarea fișierelor binare, în ceea ce privește arhivele comprimate și fișierele executabile.

Imaginile de pe CD-uri de accelerație care permit această opțiune blochează încărcarea fișierelor de imagini CD.

Fișierele multimedia cu clapete care permit această opțiune blochează descărcarea fișierelor multimedia (muzică și filme).

Aruncați clapeta peste extensii separate prin virgule, specificați extensiile pe care trebuie să le blocheze calmarul.

Finalizați transferul dacă mai puțin de x kb rămâne completarea transferului dacă este mai mică decât X KB până când fișierul este încărcat complet. O valoare de 0 întrerupe transmisia imediat.

Abortați transferul dacă mai rămân xk mai mult pentru a întrerupe transferul dacă mai rămân mai mult de x kb până la sfârșitul încărcării fișierului. O valoare de 0 întrerupe transmisia imediat.

Finalizați transferul dacă mai mult x kb finalizat finalizarea descărcării fișierului dacă este încărcată mai mult de X%.

Pentru a aplica setările, faceți clic pe SAVE.

Această parte a setărilor este responsabilă pentru metoda de autentificare a clienților serverului proxy. Este important să rețineți că această setare nu este disponibilă atunci când proxy-ul este configurat ca proxy transparent.
Posibile opțiuni: local, LDAP, RADIUS, domeniu NT. Selectați-l pe cel dorit, prescrieți detaliile serverului de autentificare selectat. Apoi, apropo, puteți utiliza serverul RADIUS configurat anterior în articolul "Instalarea și configurarea FreeRadius Server în pfSense". Nu am configurat metoda de autentificare, deoarece în cazul meu accesul la proxy este permis tuturor utilizatorilor rețelei locale.
Pentru a aplica setările, faceți clic pe SAVE.

În această parte, puteți înregistra în mod explicit utilizatorii ale căror acces la proxy este permis. Pentru aceasta, în meniul anterior, setările Auth. metoda de autentificare trebuie să fie locală.
Ca de obicei, pentru a aplica setările, faceți clic pe SAVE.

Cu setările efectuate, acum este momentul pentru a testa funcționarea serverului nostru proxy. Mai întâi vom asigura că toate setările noastre satisfac operaționalitatea serverelor. Mergeți la Status - Services și verificați starea de calmar și havp. ambele ar trebui marcate ca Running.

Încercați să descărcați virusurile de testare din zona Descărcare utilizând http protocolul standard.
Ca rezultat, ar trebui să obținem următoarele:

Logurile sistemului ar trebui să aibă următoarele:

Aceasta înseamnă că circuitul funcționează și scopul nostru este îndeplinit.
Acest articol poate fi considerat complet, până la întâlniri noi pe blogul bruteforcer.ru.