使用p3scan + clamav搭建透明邮件病毒拦截网关

 

p3scan可以与多种扫毒引擎配合工作，我用的仍然是clamav，具体的说应该是clamd

 

先安装clamd，它在clamav-server这个包里：
rpm -ivh /usr/src/redhat/RPMS/i386/clamav-server-0.91.1-1.i386.rpm
怎么编译出这个rpm包请参见：http://blog.chinaunix.net/u/2367/showart_321930.html

 

clamd必要的配置项目如下，/etc/clamd.conf中都有解释，就不啰嗦了：
LogFile /var/log/clamav/clamd.log
LogFileMaxSize 0
LogTime yes
PidFile /var/run/clamav/clamd.pid
TemporaryDirectory /dev/shm
DatabaseDirectory /var/lib/clamav
FixStaleSocket yes
TCPSocket 3310
TCPAddr 127.0.0.1
MaxConnectionQueueLength 80
StreamMaxLength 20M
MaxThreads 80
ReadTimeout 300
MaxDirectoryRecursion 20
User clamav
AllowSupplementaryGroups yes
DetectBrokenExecutables yes
ScanPDF yes
ArchiveMaxFileSize 64M
ArchiveMaxRecursion 10
ArchiveMaxCompressionRatio 300
ArchiveBlockEncrypted no
ArchiveBlockMax yes
ClamukoMaxFileSize 64M

 

启动clamd：
/etc/rc.d/init.d/clamd start

 

下载、安装、编译p3scan的srpm包：
wget -c http://jaist.dl.sourceforge.net/sourceforge/p3scan/p3scan-2.3.2-1.src.rpm
rpm -ivh p3scan-2.3.2-1.src.rpm
cd /usr/src/redhat/SPECS/
rpmbuild -ba --clean p3scan.spec

提示需要必要的库，安装之：
yum -y install pcre-devel openssh-devel

继续编译：
rpmbuild -ba --clean p3scan.spec

安装编译好的p3scan：
cd ../RPMS/i386/
rpm -ivh p3scan-2.3.2-1.i386.rpm

 

p3scan的配置很简单，在/etc/p3scan/p3scan.conf中，必要的项目如下：
#启动p3scan的userid，我尝试用clamav，与clamd的userid相同，但进行扫描后有一个chmod操作报错，所以干脆用了root
user = root
scannertype = clamd
scanner = 127.0.0.1:3310
virusregexp = .*: (.*) FOUND
timeout = 90
footer = /usr/bin/clamdscan -V

 

/etc/p3scan/中的p3scan-??.mail是p3scan检测到病毒发送通知的邮件模板，复制其中的p3scan-en.mail为p3scan.mail，或者创建一个连接：

cd /etc/p3scan

ln -s p3scan-en.mail p3scan.mail

当然，也可以根据这个模板翻译成中文后使用。通知邮件的标题在/etc/p3scan/p3scan.conf中定义，也可以根据自己的需要修改。

 

启动p3scan:
/etc/rc.d/init.d/p3scan start

 

设置iptables规则，把所有到25，110的流量重定向到p3scan的工作端口8110上：
iptables -t nat -A PREROUTING -p tcp -m multiport --dport 25,110 -j REDIRECT --to-port 8110

 

收发邮件测试一下。p3scan的日志在/var/log/messages中。

 

把iptables、squid、clamav、havp、p3scan组合起来，就是一个完整的具有病毒过滤功能的安全网关！