March 2009 Archives

Орфограффия

В худой котомк поклав ржаное хлеба
Я ухожу туда, где птичья звон
И вижу над собою синий небо
Лохматый облак и широкий крон
Я дома здесь, я здесь пришел не в гости
Снимаю кепк, надетый набекрень
Весёлый питчк, помахивая хвостик
Насвистывает мой стихотворень.
Зелёный травк ложится под ногами,
И сам к бумаге тянется рука,
И я шепчу дрожащие губами
"Велик могучим русский языка!"
Вспыхает небо, разбужая ветер,
Проснувший гомон птичьих голосов.
Проклинывая всё на белом свете,
Я вновь бежу в нетоптанность лесов.
Шурщат зверушки, выбегнув навстречу,
Приветливыми лапками маша:
Я среди тут пробуду целый вечер,
Бессмертные творения пиша.
Но выползя на миг из тины зыбкой,
Болотная зелёновая тварь
Совает мне с заботливой улыбкой,
Большой орфографический словарь.
#IP интерфейса и порт, где будет SQUID
http_port 192.168.0.1:3128 transparent

#Порт icp
icp_port 0

#Не кешировать скрипты
acl QUERY urlpath_regex cgi-bin 
no_cache deny QUERY

#Кол-во ОЗУ для SQUID
cache_mem 32 MB

#Формат хранилища SQUID - ufs. Размер кеша(МБ): 1000. Кеш первого уровня: 16, кеш второго - 256. 
cache_dir ufs /var/spool/squid 1000 16 256

#Путь к лог-файлу доступа к SQUID(Статистика работы через SQUID)
cache_access_log /var/log/squid/access.log

#Путь к лог-файлу SQUID - в нем события запуска SQUID и дочерних программ
cache_log /var/log/squid/cache.log

#Путь к лог-файлу Strore 
cache_store_log /var/log/squid/store.log

#Ротация логов
logfile_rotate 10

#Таблица MIME-типов для SQUID
mime_table /usr/share/squid/mime.conf

#PID-файл SQUID
pid_filename /var/run/squid.pid

#Пользователь для анонимного доступа к FTP
ftp_user anonymous@

#SQUID формирует страницу с папками на FTP - этот параметр - кол-во папок
ftp_list_width 32

#Пассивный режим FTP
ftp_passive on

#Проверка подлинности FTP
ftp_sanitycheck on

#Адрес(а) DNS сервера(ов) можете тут указать свое
dns_nameservers 192.168.0.1 

#Списки контроля доступа 
#Сам сервер
acl phoenix src 192.168.0.1/255.255.255.255

#Сегмент сети с адресами 192.168.0.2-255
acl office src 192.168.0.2-192.168.0.255/255.255.255.255

 #Стандартные ACL
acl all src 0.0.0.0/0.0.0.0

#Все
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255 

#Адрес localhost
acl SSL_ports port 443 563

#Порты SSL
acl SMTP port 25

#Для защиты от спама ;) Оказывается SQUID может делать relay

#Порты, которые будет пропускать SQUID

#Служебные ACL
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563 

#https, snews
acl Safe_ports port 777

#multiling http
acl CONNECT method CONNECT
 
#Теперь разрешаем доступ тому, кто указан в ACL 
http_access allow phoenix

http_access allow office 
http_access deny !Safe_ports 
http_access deny SMTP
http_access deny all
http_access deny banners1 all
http_access deny banners2 all

#Разрешаем ICP-доступ всем
icp_access deny all

#Каталог со страницами неполадок SQUID
error_directory /usr/share/squid/errors/Russian-1251

Squid + HAVP + ClamAV

Потребовалось настроить Squid в режиме transparent и прикрутить к нему антивирус. Долго рыл интернет и т.д. в результате таки настроил.... И так:
aptitude install squid clamav havp
Конфигурируем Squid. Можно добавить и в стандартный, но лучше создать свой. отдельный.
vim /etc/squid/squid.conf
cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
acl Scan_HTTP proto HTTP
never_direct allow Scan_HTTP
Заворачиваем 80 порт на Squid
iptables -t mangle -A PREROUTING -p tcp --dport 80 -d 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 80 -j QUEUE
iptables -t mangle -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp --dport 3128 -j QUEUE
iptables -t nat -A PREROUTING -m tcp -p tcp -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.0/255.255.255.0
 --dport 80 -j REDIRECT --to-ports 3128
Перезагружаем Squid и HAVP и топаем по адресу http://www.eicar.org/anti_virus_test_file.htm. Качаем тестовый вирус. Если все сделано правильно то будет выдано сообщение об ошибке. Теперь слегка подправим HAVP. Открываем его конфиг и раскоментируем и изменим следующие строчки:
vim /etc/havp/havp.config
PORT 8080
BIND_ADDRESS 127.0.0.1
USER havp
GROUP havp
SERVERNUMBER 8
MAXSERVERS 100
SCANTEMPFILE /var/spool/havp/havp-XXXXXX
TEMPDIR /var/tmp
TEMPLATEPATH /etc/havp/templates/ru
WHITELISTFIRST true
WHITELIST /etc/havp/whitelist
BLACKLIST /etc/havp/blacklist
FAILSCANERROR false
SCANIMAGES false
MAXSCANSIZE 5000000
STREAMUSERAGENT Player Winamp iTunes QuickTime Audio RMA/ MAD/ Foobar2000 XMMS
ENABLECLAMLIB true
CLAMDBDIR /var/lib/clamav
Теперь можно настраивать блеклисты и подправить страници ошибок. Далее добавим обновление баз антивируса в cron
crontab -e
0 * * * * /usr/bin/freshclam -quiet >/dev/null 2>&1
Ctrl+O
Ctrl+X
Вот в принципе и все. P.S.: Написанно чтобы не забыть самому.