Прокси-сервер в pfSense — Часть 2: антивирус и фильтры доступа

На этот раз рассмотрим работу прокси-сервера в роутере pfSense совместно с антивирусом, а так же затронем тему ограничения доступа к сайтам различных категорий. Естественно, что для решения этих задач, у вас уже должен работать прокси-сервер, как его настраивать в pfSense мы рассказывали в прошлом обзоре.
На всякий случай приведу быстрые ссылки на все предыдущие статьи про pfSense:

  1. Введение в pfSense
  2. Установка pfSense
  3. Настройка pfSense: сетевые интерфейсы
  4. Прокси-сервер в pfSense
  5. [этот обзор] Прокси-сервер в pfSense — Часть 2
  6. MultiWAN в pfSense — подключение к двум провайдерам
  7. pfSense — настройка удаленного доступа (IPSec VPN) для iPhone, iPad

Итак, для решения поставленной задачи нам нужно установить два пакета: HAVP antivirus и SquidGuard. В прошлом обзоре мы подробно рассказали как устанавливать пакеты в pfSense, поэтому сейчас мы не будем на этом заострять внимание.

Как это работает

Изначально этого раздела не было в нашем обзоре, но учитывая комментарии наших постоянных читателей, мы решили внести некоторую ясность.
Итак, вот схема (кликните для увеличения):

HAVP (антивирус) по сути является самостоятельным мини-прокси, который только фильтрует вирусы. Для работы ему необходим отдельный порт (по умолчанию в pfSense используется 3125). Затем отфильтрованный трафик он отдает основному прокси-серверу Squid, который работает через порт 3128. Этот трафик по необходимости фильтруется контентным фильтром SquidGuard и после этого отдается компьютерам локальной сети. Как вы понимаете, такая многоступенчатая фильтрация требует определенных ресурсов, поэтому если pfSense установлен на слабую машину, вы можете получить ощутимые тормоза при серфинге в интернете.

Настройка Антивируса

Идем в меню Services\Antivirus, затем переходим на закладку HTTP Proxy и выставляем следующие опции:
Enable — ставим галку. Это главный тумблер антивируса.
Proxy Mode — Parent for Squid. Связываем его с нашим прокси-сервером.
Proxy Interface — LAN. Указываем сетевой интерфейс, на котором он будет работать.
Proxy port — оставляем по умолчанию, в моем примере 3125
language — Russian. Чтобы антивирус все свои сообщения для пользователей выводил на понятном языке 🙂

Все параметры продублированы на скриншоте. После настройки не забываем нажать кнопку Save внизу страницы!
Теперь переходим на закладку Settings. Эти настройки уже не так важны, как на предыдущей закладке, но тем не менее выставить их не помешает.
Первый параметр — частота обновления антивирусных баз. Я выставил 1 час, он вы можете взять любое другое удобное значение.
Второй параметр — Регион зеркала для обновления баз. Выставляйте ближайший к себе.
И последнее что я сделал — включил логирование событий — галка Log.

Нажимаем кнопку Save.

Проверка сопряжения с прокси-сервером.

Переходим в меню Services\Proxy server и в первой закладке проматываем страницу в самый низ. В поле Custom Options у нас должно появиться несколько записей про антивирус havp:

Если всё так, то нажимаем кнопку Save.
Теперь переходим в меню Status\Services:

Нам здесь нужно убедиться, что службы havp и squid работают: статус должен быть Running. Если это не так, попробуйте нажать на кнопку Start (указал стрелкой на скриншоте).
Если не поможет, перезагрузите pfSense через меню Diagnostics\Reboot. Когда я настраивал у меня по непонятным для меня причинам служба havp запустилась сама минут через 5 после перезагрузки роутера.

Проверка антивируса

Есть специальный сайт, откуда можно «скачать» вирус. Наш HAVP должен его не пропустить и сказать об этом пользователю.
Вот вам ссылочка для проверки — http://www.rexswain.com/eicar.zip
Попробуйте зайти по ней. В ответ у вас должно появиться следующее:

Настраиваем фильтры SquidGuard

Для ограничения доступа к различным сайтам мы будем использовать фильтр SquidGuard. Настройка этого компонента производится в меню Services\Proxy filter. Для начала включаем черные списки — установите галку Blacklist, а затем в поле Blacklist URL добавьте адрес для загрузки черных списков (например http://www.shallalist.de/Downloads/shallalist.tar.gz ). Нажимаем кнопку Save внизу страницы. После этих манипуляций идем в закладку Blacklist и жмем кнопку Download, чтобы скачать черные списки.

После скачивания SquidGuard перестроит базу известных ему сайтов, что может занять некоторое время. На моей относительно не слабой машине это заняло порядка 5-7 минут, а на сайте разработчика вообще написано, что этот процесс может занять до получаса. По завершению этого чудного процесса вы должны получить надпись «Blacklist update complete».

Теперь возвращаемся в закладку General Settings, выставляем галку Enable, можно активировать все галки логирования событий. Затем жмем Save внизу. В итоге должно получиться вот так:

После включения фильтра весь трафик будет блокироваться. Чтобы это исправить — идем в настройки по умолчанию, за которые отвечает закладка Common ACL. Там есть надпись Target Rules List, выделенная красным. Если по ней нажать, то раскроется список категорий сайтов, которые входят в blacklist. Напротив каждой категории можно выставить следующие значения:

  • —— — не обрабатывать фильтром
  • whitelist — не блокировать никогда, даже если перекрывается другими правилами
  • deny — запрещать
  • allow — разрешать

В самом конце списка будет категория Default access (доступ по умолчанию). Мы рекомендуем поставить там allow, а на «нужных» категориях ставить deny. Тем самым по умолчанию мы разрешим доступ куда угодно за исключением запрещенных категорий. Каждый раз когда вы будете менять доступ до категорий не забывайте нажимать Save внизу и кнопку Apply в закладке General settings.

Важное замечание: после нажатия кнопки Apply фильтр перенастраивается несколько минут, поэтому не торопитесь сразу проверять изменения.

Типовые задачи для фильтра SquidGuard

1. Ограничить доступ по времени

Для этого сначала нужно определить временные интервалы. Это делается в закладке Times. При добавлении временного интервала его название не должно содержать пробелы. В нашем примере мы сделали сложный интервал. По будням доступ разрешен с 8 до 18, а в выходные с 9 до 15.

Вы можете создать сколько угодно временных интервалов, затем их применять в пользовательских списках доступа.

2. Индивидуальные настройки категорий для компа

Это делается в закладке Groups ACL. Сделаем одно правило для админского компа. Назовеем правило adminPC, укажем его IP-адрес, в ниспадающем списке Time при желании можно указать временной интервал из предварительно созданных на шаге 1.

Категории сайтов при разворачивании у нас будут представлены двумя столбцами. Левый столбец определяет фильтрацию категорий в установленном нами временном интервале, а правый столбец наоборот — в остальное время.

Нажимаем Save. Созданные правила можно редактировать, выключать, удалять. Чтобы выключить какое-либо правило надо зайти в него,

установить саму первую галку — Disabled и сохранить правило.

3. Как добавить какой-либо сайт в белый список

В закладке Target Categories создаем новую категорию, куда добавляем нужные нам домены и/или нужные ссылки. Если у нас несколько адресов или доменов, то их можно вписать через пробел.

После создания категории, оно появится в общем списке категорий. Установите для нее режим доступа whitelist.

4. Как запретить загрузку файлов определенных типов

Создаем еще одну категорию, где в поле Extension вводим специальное регулярное выражение вида:
(.*\/.*\.(asf|wm|wma|wmv|zip|rar|mp3|avi|mpg|mpeg|mpv|mp3|vpu))
Список запрещаемых расширений файлов можете отредактировать сами. В итоге у вас должно получиться вот так:

Далее настраиваете режим доступа для созданной категории и дело в шляпе.

Самое главное на забывайте нажать кнопку Apply в закладке General Settings после всех манипуляций.
На этом пока всё. Удачи в освоении, ждем ваших коментариев!

admin

Нужно войти чтобы оставить комментарий.