Вопрос по squid (мониторинг переданных файлов)

[suspender]

Начальство с недавних пор стало думать что кто то из манагеров сливает инфу конкурентам.
Возможностей у них для этого ровно 2
1. Корпоративная почта (MTA Exim настроенный по статье lissyara - respect ему) - Ну тут я тупо сделал отсылание копий всех писем на специальный ящег - который пускай безы смотрят.
Остаётся
2. Интернет (squid с авторизацией из AD - тоже настроенный по статье lissyara - respect №2 ). Вот тут я пока не знаю с какой стороны подступицца. Можно ли как нить отследить сам факт отсылки файла ? (через веб интерфейс почт, через всякие файлообменники типа рапиды и т.д.) В общем как минимум хотелось бы просто знать имена файлов и кем отправлены, как максимум - ловить эти файлы и куда нить складировать копии.
У кого нибудь какие нибудь мысли по этому есть ? (мне бы хотя бы keywords для гугления).

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[gonzo111]

Хороший и интересный вопрос ....
а скорость исходящего трафа и объем выкачиваемого файла
для каждого пользователя похоже тоже никак нельзя ограничить?

[kosh]

Форумы/почту/обменники/итп можно запретить простым способом - отрубить метод POST.
Проследить, тут сложней.

[gonzo111]

http://www.squid.kiev.ua/faq/squid-06.h ... st-methods
тут описаны методы возможно можно сделать чтоб запросы этих методов падали в лог

ну или поискать патчи к сквиду

[zg]

отрубить метод POST.

+1

[suspender]

Ещё 1 вопрос
отрубание метода POST к чему ещё приведёт ?

Я как понимаю, это когда аргументы запроса на вебсервер идут не после "?" в урле, а в каком то теле запроса ?
То есть тогда и многие форума и сайты тупо станут недоступны (точнее интерактивность на них) ?

в Гугл пока не лез уточнять, решил сразу спросить - можно ли поставить ограничение на метод POST по размеру (то есть пускай мессага форума, или ещё какая нить хрень пролазит - а вот какой никакой файл - уже нет)?

ps. Я в этом всём не шарю (пока что), так что мб фигню написал.

[zg]

То есть тогда и многие форума и сайты тупо станут недоступны (точнее интерактивность на них) ?

именно, но кто сказал, что инфу сливают не через них?

[suspender]

Cходил по ссылке. Нашел там такое

Код: Выделить всё

POST      HTTP/1.0   CC or Exp. submit data (to a program).
PUT       HTTP/1.1   never      upload data (e.g. to a file).

Правильно ли я понимаю, что если аттачится именно файл - то он аттачится методом PUT ?

[suspender]

То есть тогда и многие форума и сайты тупо станут недоступны (точнее интерактивность на них) ?

именно, но кто сказал, что инфу сливают не через них?

Пока что рассматривается вариант, что инфа актуальна только в структурированном xls файле состоящем из данных и многочисленных расчётов по ним. Размеры файлов - относительно большие. То есть тупо постить инфу из них в посты форума - бесполезно. То есть утекают именно файлы.

[suspender]

мде

Код: Выделить всё

acl PUT method PUT

....
http_access deny PUT
...

Ни к чему не привело - через mail.ru спокойно отправил файло. А вот

Код: Выделить всё

...
acl POST method POST
...
http_access deny POST
...

Привело к тому, что я даже залогиниться на mail.ru не смог Решение в принципе, только больно уж Драконовское.

Подскажите плз как применять acl только после достижения запросом подпадающим под данную acl определенного значения в [кило-/мега-]байтах ?

[suspender]

В общем то по ходу действительно нада отрубать нафиг целиком метод POST

Код: Выделить всё

acl PUT method PUT
acl POST method POST
....
reply_body_max_size 512 allow POST
....
http_access deny PUT

В общем то это рубит пересылку через mail.ru и gmail.com, в то же время длина POST запросов 512 байт - достаточно чтобы авторизовываться на сайтах, писать в форумы, и т.д.
Но вот rapidshare.ru это не смутило, и оно нормально схавало файл размером ~ 5 Mb.

[zg]

reply_body_max_size

reply вроде как ответ, а не отправляемые данные

[suspender]

хмм
действительно
туплю
но тем не менее mail.ru и gmail.com зарезало хотя и не так как я хотел. Буду курить squid.conf.default дальше

[suspender]

Похоже что

Код: Выделить всё

request_body_max_size 100 KB

то что нужно

[gonzo111]

я тоже в эту сторону подумал... еще бы лог вести того что отправилось большое и красота будет...