Какое-то странное правило

Напоминает одно из правил тёмного властелина. Делать все сколь либо важные файлы объёмом более 1,5 мегабайт.

правильно определить тип данных можно только с использованием icap. Возможно стандартный модуль content_filtering поможет. Возможно в связке с clamav эта проблема решаема.

ограничить размер - reply_body_max_size

reply_body_max_size

reply_body_max_size ограничит только до какого то объема. Стоит icap в правилах фильтрации выставил такое правило. Что то запрещает что то пропускает. Та же скачка архива с файлообменника не срабатывает.

Делается для того что бы пользователи не скачивали архивы внутри которых лежат вредоносные скрипты не определяемые антивирусом. Тот же шифровальщик. Обычно такие архивы так и весят

ты меня жутко заинтриговал. Зачем тебе такое правило?

icap

multipart reject -trunc 1M pass правило в icap

Защита

Делается для того что бы пользователи не скачивали архивы внутри которых лежат вредоносные скрипты не определяемые антивирусом. Тот же шифровальщик. Обычно такие архивы так и весят

Не лучше(легче) ли ограничить ресурсы куда юзверям ходить -можно-, вместо такого изврата ?

Это будет очень большой список хостов. К тому же не известно вдруг мошенник пришлет ссылку с какого нибудь файлообменника

слов нет. лучше бы clamav прикрутил да остыл.

кламав свежий шифровальщик может не опознать. Я уже приводил пример, когда он через неделю опознавать стал

и что, мой вариант от этого хуже феерии ТС?

Clamav к сожалению должен быть в дополнение к варианту TC. А к сожалению именно потому, что с определением свежей вирусни он не справляется и приходится вот так извращаться (мой пост с подтвержденимем можно найти в этой теме: ClamAV не определяет вирус. + там же информация о ещё более вопиющем случае необнаружения вируса возрастом в несколько недель: ClamAV не определяет вирус. (комментарий) )

должен быть в дополнение к варианту TC

ого, ты его приемлешь? вы братья или просто рядом живете?

Собственно что такого страшного в варианте ТС? От пользователей будет некоторое количество жалоб на невозможность скачать мелкие архивы. Если отдавать страницу-заглушку с пояснением зачем так сделано и контактом админа, то жалоб будет меньше. А если использовать только clamav, то высок шанс на проскакивание вируса.

P.S. На рабочих станциях есстесственно также должна стоять и централизованно обновляться защита - это в рамках данной темы даже не обсуждается, но в случае с упомянутыми выше шифровальщиками у нас в первые сутки распространения свежего билда шифровальщика его не ловил даже KES10 со свежими базами.

Собственно что такого страшного в варианте ТС?

Плюсов нет.

Анус себе запрети.