阻止 .zip 中的 .exe

如果我们想在防火墙中阻止某个扩展，我们可以使用类似这样的规则：

example iptables rules:
iptables -A INPUT -p tcp -m string --string ".exe" --algo bm -j DROP

或者我们可以在代理中使用类似这样的规则来执行此操作：

example squid-cache rules:
acl blext url_regex -i "blext.txt"
http_access deny blext
acl blmime rep_mime_type -i "blmime.txt"
http_reply_access deny blmime

其中 blmime 和 blext ACL 包含以下内容（来源互联网号码分配机构)：

blext.txt
\.exe([a-zA-Z][0-9]*)?(\?.*)?$
\.zip([a-zA-Z][0-9]*)?(\?.*)?$
\.rar([a-zA-Z][0-9]*)?(\?.*)?$
etc

blmime.txt
^application/exe$
^application/zip$
^application/octet-stream$
etc

我的问题是：

我如何阻止包含 .exe 文件的 .zip 或 .rar 扩展名？

PD：我无法阻止 .rar 或 .zip，因为它会产生误报，因为容器内有合法的下载，但不包含 .exe 或 .bat