Проксі-сервер в pfsense - частина 2 антивірус і фільтри доступу, сісадмінство

Отже, для вирішення поставленого завдання нам потрібно встановити два пакети: HAVP antivirus і SquidGuard. У минулому огляді ми докладно розповіли як встановлювати пакети в pfSense. тому зараз ми не будемо на цьому загострювати увагу.

Як це працює

Налаштування Антивірусу

Йдемо в меню Services \ Antivirus. потім переходимо на закладку HTTP Proxy і виставляємо наступні опції:
Enable - ставимо галку. Це головний тумблер антивіруса.
Proxy Mode - Parent for Squid. Пов'язуємо його з нашим проксі-сервером.
Proxy Interface - LAN. Вказуємо мережевий інтерфейс, на якому він буде працювати.
Proxy port - залишаємо за замовчуванням, в моєму прикладі 3125
language - Russian. Щоб антивірус всі свої повідомлення для користувачів виводив на зрозумілій мові 🙂

Проксі-сервер в pfsense - частина 2 антивірус і фільтри доступу, сісадмінство

Всі параметри продубльовані на скріншоті. Після настройки не забуваємо натиснути кнопку Save внизу сторінки!
Тепер переходимо на закладку Settings. Ці настройки вже не так важливі, як на попередній закладці, але тим не менше виставити їх не завадить.
Перший параметр - частота оновлення антивірусних баз. Я виставив 1 годину, він ви можете взяти будь-який інший зручний значення.
Другий параметр - Регіон дзеркала для оновлення баз. Виставляйте найближчий до себе.
І останнє що я зробив - включив логирование подій - галка Log.
Проксі-сервер в pfsense - частина 2 антивірус і фільтри доступу, сісадмінство

Натискаємо кнопку Save.

Перевірка сполучення з проксі-сервером.

Переходимо в меню Services \ Proxy server і в першій закладці промотувати сторінку в самий низ. В поле Custom Options у нас має з'явитися кілька записів про антивірус havp:

Якщо все так, то натискаємо кнопку Save.
Тепер переходимо в меню Status \ Services:

Нам тут потрібно переконатися, що служби havp і squid працюють: статус повинен бути Running. Якщо це не так, спробуйте натиснути на кнопку Start (вказав стрілкою на скріншоті).
Якщо не допоможе, перезавантажте pfSense через меню Diagnostics \ Reboot. Коли я налаштовував у мене з незрозумілих для мене причин служба havp запустилася сама хвилин через 5 після перезавантаження роутера.

Перевірка антивіруса

Налаштовуємо фільтри SquidGuard

  • - - не обробляти фільтром
  • whitelist - не блокувати ніколи, навіть якщо перекривається іншими правилами
  • deny - забороняти
  • allow - вирішувати

Важливе зауваження: після натискання кнопки Apply фільтр перенастраивается кілька хвилин, тому не поспішайте відразу перевіряти зміни.

Типові завдання для фільтра SquidGuard

1. Обмежити доступ по часу

Для цього спочатку потрібно визначити часові інтервали. Це робиться в закладці Times. При додаванні тимчасового інтервалу його назва не повинна містити пробіли. У нашому прикладі ми зробили складний інтервал. По буднях доступ дозволений з 8 до 18, а у вихідні з 9 до 15.

Проксі-сервер в pfsense - частина 2 антивірус і фільтри доступу, сісадмінство

Ви можете створити скільки завгодно тимчасових інтервалів, потім їх застосовувати в призначених для користувача списках доступу.

встановити саму першу галку - Disabled і зберегти правило.

Проксі-сервер в pfsense - частина 2 антивірус і фільтри доступу, сісадмінство

3. Як додати який-небудь сайт в білий список

4. Як заборонити завантаження файлів певних типів

Найголовніше на забувайте натиснути кнопку Apply в закладці General Settings після всіх маніпуляцій.
На цьому поки все. Удачі в освоєнні, чекаємо ваших коментарів!

Навігація по публікаціям

Proxy Server - Transparent proxy - Check

Ось ще б дізнатися як заблокувати за допомогою squidguard заблокувати httpS: \\ vk.com

обрубати CONNECT 443 для vk.com в squid'е.

у мене в squid'е (НЕ pfSense) це прописано так:

acl SSL_ports port 443 9443
acl LAN_hosts src 192.168.31.0/27
acl vkontakte url_regex -i «/usr/local/etc/squid/db/vkontakte.txt»

http_access deny CONNECT SSL_ports LAN_hosts vkontakte

в файлі vkontakte.txt:
vkontakte.ru
vk.com
vk.me
...
і ще близько 15 записів різних дзеркал

«У нас має з'явитися кілька записів про антивірус havp
Якщо все так, то натискаємо кнопку Save »...

А якщо все не так? ...

Можна звичайно і ручками прописати ... але, у мене, наприклад, squid не починається з цими рядками ...
Встановлював послідовно HAVP, SQUID, SQUIDGUARD ... Все встало, запустилось, в squid'е в поле «Custom Options»
нічого не з'явилося, прописав вручну після перезавантаження squid'а він просто не «піднімається» ...
Довелося все зносити і встановлювати все заново, по порядку, squid, havp і т.д .... і знову нічого в «Custom Options» ... Знову прописав вручну, squid став запускатися але eicar не "ловить" ні в якому разі ...

Буду намагатися його перемогти ...

А як зробити заборону на вихід в інтернет, наприклад, мобільних пристроїв, якщо стоїть режим Transparent?

Дякую за статтю