找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 9621|回复: 9

[iptables] iptables+p3scan+ClamAV 实现病毒网关

[复制链接]
发表于 2004-9-28 22:44:07 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
资源:Linux下的杀毒软件: Kaspersky Anti-Virus for Linux (AVPD)  http://www.kaspersky.com/ Trophie Anti-Virus Daemon       http://www.vanja.com/tools/trophie/ FRISK F-Prot Antivirus         http://www.f-prot.com/ Clam Anti-Virus            http://www.clamav.net 个人觉得,Linux下面的杀毒软件没有什么用处,除非是给服务器用,例如for mailserver等等。当然了,现在最头疼的还是通过邮件传播的病毒,如果这种邮件到了最终用户那里,就比较讨厌了,因为不是每个用户都会装个人杀毒软件,更少的人知道要去定期更新病毒库,以为有了杀毒软件就万事大吉了(看来用上电脑跟IT普及一点关系也没有~)。经常看见有些公司开始推出网关杀毒的产品,比较著名的有TrendMacro的VirusWall,要卖好多银子,买不起。但是最近有看到国内的厂商开始做,就估计有些基于Linux的开源软件可以利用了,于是Google。 主要是想通过网关的病毒邮件可以被截获。肯定有POP3的代理,或者还有SMTP代理,然后配合杀毒软件??思路肯定是这样的,没跑。 ClamAV 的站点上有3rd party software,有个 Pop3 Scan Daemon 引起了我的注意,一看,呵,that's what I want... 看了一下文档,基本明白,先利用iptables(注意,不能用ipchains,否则会出错,在ip_conntrack模块)重定向内网的Pop3请求到p3scan的端口,然后p3scan把收到的email存到临时文件夹,调用杀毒软件查一下,过滤结果的输出,没病毒放行,有病毒,就采取行动并发个警告邮件给你。 【需要】 1。iptables 这个肯定要的啦,什么?你的没有?绣逗吧,找你的光盘装上呗,什么?没有光盘?那去 rpmfind.net 或者 www.netfilter.org 吧 2。libpcre 这个是个用perl写的正则表达式解析器,应该用来分析病毒特征码的,反正我的linux没有,去 www.pcre.org 下,自己make 3。杀毒软件 上面那几个都支持,我这里用clamav 【安装】 略。不用说了吧,./configure make make install 罗嗦 【配置】 这里牵涉到几个方面的配置: 1。iptables 利用DNAT进行端口重定向,把110转向 /etc/p3scan/p3scan.conf 定义的端口,缺省是8110 iptables -t nat -A PREROUTING -p tcp --dport 110 -j REDIRECT --to-port 8110 2。杀毒软件的配置,这里我用的是ClamAV,在 /usr/loca/etc/clamav.conf 中比较重要的配置有: User mail -- 这里要使用跟p3scan一样的用户,我用的是mail.mail Scanmail -- 这个选项要打开,缺省是注释掉的,允许扫描email文件 ScanRAR -- 这个也打开吧,有些病毒附件是rar的 p3scan是连接clamd来杀毒的,因此在启动p3scan之前,请先启动clamd 3。p3scan的配置 p3scan.conf: port 8110 -- 用缺省的好了,这个改了,记得iptables的重定向也要改 user -- 这个要跟 clamav一样 scanner -- 里面已经定义好了常用的几种杀毒软件,注意修改路径 virusregexp -- 这个选择与scanner对应的病毒正则式 template -- 这个是指定发给用户的病毒邮件通知 对应的一些目录: # mkdir /etc/p3scan # mkdir /var/run/p3scan # mkdir -p /var/spool/p3scan/children # mkdir -p /var/spool/p3scan/notify 要属于对应的mail用户 # chown mail.mail /etc/p3scan # chown mail.mail /var/run/p3scan # chown mail.mail /var/spool/p3scan # chown mail.mail /var/spool/p3scan/children # chown mail.mail /var/spool/p3scan/notify 【启动】 先启动 clamd,后启动p3scan,因为p3scan是调用clamdscan来查杀邮件的,可以放到rc.local里面去,clamd有自己的log,在/var/log/clamd/下,p3scan没有独立的log,写到syslog里面去的。 【病毒库更新】 /usr/local/bin/freshclam 【工作流程】 再重复一遍: 局域网客户收email--> 网络请求到达网关,被iptables重定向110-->8110到p3scan--> p3scan取得服务器信息,收取邮件,然后将邮件保存在临时目录,调用clamdscan查毒--> 无毒,向局域网客户端发送电子邮件;有毒,构造病毒警告信发送给客户端 这个流程,你可以用p3scan -d 参数来看输出的debug信息 试用了一段时间,还不错,基本上我收到的病毒都滤掉了[biggrin]
routeros
发表于 2004-9-28 23:40:51 | 显示全部楼层
恩很好谢谢提供~~小顶下
routeros
回复

使用道具 举报

发表于 2004-9-29 00:35:20 | 显示全部楼层
极品!
routeros
回复

使用道具 举报

发表于 2004-9-29 01:39:17 | 显示全部楼层
good
routeros
回复

使用道具 举报

发表于 2004-9-29 08:52:19 | 显示全部楼层
小顶一下~~辛苦啦~
routeros
回复

使用道具 举报

发表于 2004-9-29 10:25:30 | 显示全部楼层
你有没有装过啊。成功了再通知声。如果真的好用,的确是个喜讯。
routeros
回复

使用道具 举报

发表于 2004-9-29 10:29:23 | 显示全部楼层
一个中秋回来就有不少好文章.
routeros
回复

使用道具 举报

发表于 2004-9-30 09:39:37 | 显示全部楼层
qmail-scanner也挺好用的,不过clamav太占内存了,softlimit要比实际邮件附件大10倍才行
routeros
回复

使用道具 举报

发表于 2004-9-30 10:19:41 | 显示全部楼层
楼上的能不能在CL里做个病毒网关模块啊??
routeros
回复

使用道具 举报

发表于 2004-9-30 10:33:57 | 显示全部楼层
http://www.donews.net/jarson/archive/2004/09/16/100500.aspx在这里也有这篇文章!楼主是不是转的文章啊??
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-25 02:12 , Processed in 0.070839 second(s), 14 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表