Заметка по прикручиванию Clamav к Squid

[KrivoSoft]

Жесть!
Никогда бы не додумался до такого :-)
Как вообще у тя тачка жила без loopback....

Ну, как говорится, все хорошо шо хорошо заканчивается :-)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Aust]

Комрады!
Я, надеюсь, успешно прикрутил havp к SQUID. Протестировал на тестовом вирусе, сработал. Стал ждать... Система работает уже недели 3-4 работает, но за это время ни одного вируса в логах не было... Через сквиду ходит порядка 20 человек... Я пробовал включать полное логирование, HАVP добросовесно пишет странички, которые проверил, пишет что не нашел в них вирусов. Особой прожерливости к памяти я не заметил...
Тут я начал задумыватся, "толи лыжи не едут, толи..." Подскажите, кто знает, как на 100 процентов проверить работоспособность этой связки? Сколько, в нормальном рабочем режиме, должен потреблять ресурсов HAVP. Как часто у вас CLAM находит вирусы в трафике? А еще очень хотелось бы услышать отзывы очевидцев об эффективности САБЖа.

[manefesto]

короче...идешь на sex-photo.ru и пытаешься посмотреть фотки.... не пустит...на вирус сругается. Ты то думал что в инете на самом деле очень много вирусов ?
Не так страшен инет как его малюют.
===============
Я на сайте ни разу не сидел....это мне люди сказали

[Fastman]

я ради интереса прикрутил вчера:
заходишь на http://ziza.ru/ и видишь привет ))
Только огорчает то что файл пока не скачается и не проверится havp-ом не начинает отдаваться юзеру...

[manefesto]

я исключил всякие там медиафайлы. Чтобы лишний раз не мусолил их.

[Aust]

Спасибо, Fastman, сработало. Значит у меня просто пользователи не лазят куда не надо. К тому же всякие sex-photo.ru режутся еще сквидой, так что на этот сайт они даже не смогли зайти...
И всетаки остается открытым вопрос по поводу эффетивности HAVP и CLAM вместе с ним при проверке вэб трафика, у кого-то реальные цыфры есть? Сколько за месяц вирусов было остановлено, как сильно проверка нагружает сервер. Субьективные ощущения тоже интересны, стало ли менше жалоб пользователей, типа "а у меня комп глючит", которые были вызваны троянами и вирусами?

[Fastman]

Спасибо, Fastman, сработало. Значит у меня просто пользователи не лазят куда не надо. К тому же всякие sex-photo.ru режутся еще сквидой, так что на этот сайт они даже не смогли зайти...
И всетаки остается открытым вопрос по поводу эффетивности HAVP и CLAM вместе с ним при проверке вэб трафика, у кого-то реальные цыфры есть? Сколько за месяц вирусов было остановлено, как сильно проверка нагружает сервер. Субьективные ощущения тоже интересны, стало ли менше жалоб пользователей, типа "а у меня комп глючит", которые были вызваны троянами и вирусами?

Я прикрутил - на поглядеть.. До этого большинство проблем решилось запретом на скачивание исполняемых файлов типа exe итд...

[manefesto]

у меня кстати очень редко на вирусы жалуется.
могу конечно посмотреть лог.
Ты еще не учитываешь то что вирусы могу попадать и с почтой. Так как squid не умеет проксировать почту, то соответственно этот источник вирусов ты предотвратить не можешь.

[Aust]

Ты еще не учитываешь то что вирусы могу попадать и с почтой.

эээээ, недооцениваешь ты меня вся почта проверяется, кстати, очень редко когда пытаются что-то засунуть почтой, бывают дни когда вобще ни одного вируса в почте нету... И всетаки меня удивляет тот факт что за 4 недели небыло ни одного вируса отловлено. Хотя, конечно запрет сайтов "соответсвующего" содержания, закачки бинарников, медиафайлов и другой дряни - делает свое дело....

[KrivoSoft]

И всетаки остается открытым вопрос по поводу эффетивности HAVP и CLAM вместе с ним при проверке вэб трафика, у кого-то реальные цыфры есть? Сколько за месяц вирусов было остановлено, как сильно проверка нагружает сервер. Субьективные ощущения тоже интересны, стало ли менше жалоб пользователей, типа "а у меня комп глючит", которые были вызваны троянами и вирусами?

Вот надумал пофлудить :-)
ИМХО после пары месяцев эксплуатации торжественно заявляю: "Дело нужное, и оно того стоит".

Ближе к цифрам.
1) около 300 пользователей, лазят везде :-)

Код: Выделить всё

grep -c '/06/2008' /var/log/havp/access.log
84
grep -c '/07/2008' /var/log/havp/access.log
25

2) около 25 пользователей, по порнухе не лазят, но часто лазят по китайским сайтам.

Код: Выделить всё

grep -c '/06/2008' /var/log/havp/access.log
13
grep -c '/07/2008' /var/log/havp/access.log
14

3) около 25 пользователей. Иногда лазяют по порнухе.

Код: Выделить всё

grep -c '/06/2008' /var/log/havp/access.log
9
grep -c '/07/2008' /var/log/havp/access.log
5

Теперь касаемо того что и где находят (самое смешное):

Код: Выделить всё

http://banks-money.com/exe.php 321+19968 VIRUS ClamAV: Trojan.Pakes-1646
http://ca.winvv.com/cn.htm 246+278 VIRUS ClamAV: Exploit.Iframe-1
http://letitbit.net/install.php 264+443078 VIRUS ClamAV: Adware.BitAccelerator-2
http://2005-search.com/test/test.html 283+5082 VIRUS ClamAV: Trojan.Downloader-2896
http://search-buy.info/cyber.wmf 263+16036 VIRUS ClamAV: Exploit.WMF.A
http://search-biz.org/2.ani 261+1024 VIRUS ClamAV: Exploit.CVE_2007_0038
http://download.colornokia.com/files/Animated_Heineken_colornokia.com_2111071425.sis 229+341091 VIRUS ClamAV: SymbOS.Trojan.Drever.A
http://sss.freemoneys.cn/pppze.exe 230+504536 VIRUS ClamAV: Trojan.Agent-19300
http://www.vzrosloe.tv/install.php 656+430386 VIRUS ClamAV: Trojan.Spy-32751
http://nguest145.depositfiles.com/auth-561214815510_195.242.112.22-b4ed8835-143914697-guest/4611468/FS145-2/Norton360.rar 272+1000142 VIRUS ClamAV: Trojan.Keygen-3
http://openok.ru/mm/589-klip-video-na-pesnju-dimy-bilana.html 489+64044 VIRUS ClamAV: JS.Agent-3
http://beta0.ok.ru/explorer.exe 212+43008 VIRUS ClamAV: Trojan.LdPinch-2484
http://update.neiron2009.com/gh3ghwd/se123.exe 273+8192 VIRUS ClamAV: Trojan.Downloader-45283
http://wori360.tudou21.cn/14.htm 266+1509 VIRUS ClamAV: VBS.Psyme-18
http://www.aviutility.com/download.php? 222+71080 VIRUS ClamAV: Trojan.Dropper-2529

Вот... Думаю после таких примеров все вопросы "нужно или не нужно" должны отпасть.

Касаемо субьективных ощущений - хз, сложно сказать... не то чтоб вирусы совсем исчезли, но если чего то словило на шлюзе, значит однозначно к юзеру оно не попало. И не известно нашел бы эту же заразу антивирь на компе юзера с вчерашними (в лучшем случае) базами.

Касаемо нагрузки - при небольшом количестве народу все порядком, ОЗУ побольше и все, на процесор существенной нагрузки нет.
На нагруженном сервере одно время наблюдались аномалии, часть из которых уприралась в недостачу mbuf, и возможно еще чего то.
Вроде полечилось следующим:

kern.ipc.shm_use_phys=1
kern.ipc.nmbclusters=65536
net.inet.tcp.nolocaltimewait=1

Вроде все.

[Alex Keda]

ссылки сделай не ссылками...
поискоивкам очень ненравятся ссылки на сайт с вирусами

[Aust]

2 KrivoSoft:
спасибо большое за аналитику, теперь, зная реальные цифры можно на что-то расчитывать и ожидать определенных результатов от применения этой связки.

[manefesto]

короче посмотрел я на это добро...и решил....ну его нафиг....всю память сожрал. у меня её и так немного(196 метров), так всю память съело и еще в свапе 150 метров.

[Aust]

2manefesto: А на сколько это пользователей и на какой канал?

[Fastman]

у меня :

Код: Выделить всё

>ps -aux | grep havp
havp     69153  0.0  2.9 63044 61484  ??  I     4:03PM   0:00.30 /usr/local/sbin/havp
havp     69154  0.0  2.7 56996 55420  ??  I     4:03PM   0:00.82 /usr/local/sbin/havp
havp     69155  0.0  2.7 56996 55428  ??  I     4:03PM   0:00.05 /usr/local/sbin/havp
havp     69156  0.0  2.7 56996 55408  ??  I     4:03PM   0:00.08 /usr/local/sbin/havp
havp     69157  0.0  2.7 56996 55428  ??  I     4:03PM   0:00.05 /usr/local/sbin/havp
havp     69158  0.0  2.7 56996 55420  ??  I     4:03PM   0:00.13 /usr/local/sbin/havp
havp     69159  0.0  2.7 56996 55428  ??  I     4:03PM   0:00.06 /usr/local/sbin/havp
havp     69160  0.0  2.7 56996 55408  ??  I     4:03PM   0:00.11 /usr/local/sbin/havp
havp     69161  0.0  2.7 56996 55428  ??  I     4:03PM   0:00.05 /usr/local/sbin/havp
havp     69162  0.0  2.7 56996 55408  ??  I     4:03PM   0:00.05 /usr/local/sbin/havp
havp     69163  0.0  2.7 56996 55428  ??  I     4:03PM   0:00.05 /usr/local/sbin/havp
havp     69164  0.0  2.7 56996 55420  ??  I     4:03PM   0:00.14 /usr/local/sbin/havp
havp     69165  0.0  2.7 56996 55428  ??  I     4:03PM   0:00.06 /usr/local/sbin/havp
havp     69166  0.0  2.7 56996 55420  ??  I     4:03PM   0:00.12 /usr/local/sbin/havp
havp     69167  0.0  2.9 63140 61580  ??  I     4:03PM   0:00.20 /usr/local/sbin/havp
havp     69168  0.0  2.7 56996 55420  ??  I     4:03PM   0:00.95 /usr/local/sbin/havp
havp     69169  0.0  2.7 56996 55428  ??  I     4:03PM   0:00.05 /usr/local/sbin/havp
havp     69170  0.0  2.7 56996 55428  ??  I     4:03PM   0:00.05 /usr/local/sbin/havp
havp     69171  0.0  2.7 56996 55420  ??  I     4:03PM   0:00.06 /usr/local/sbin/havp
havp     69172  0.0  2.7 56996 55420  ??  I     4:03PM   0:00.11 /usr/local/sbin/havp
havp     69173  0.0  2.7 56996 55428  ??  I     4:03PM   0:00.05 /usr/local/sbin/havp
havp     69174  0.0  2.7 56996 55408  ??  I     4:03PM   0:00.09 /usr/local/sbin/havp
havp     69175  0.0  2.7 57440 55872  ??  I     4:03PM   0:00.08 /usr/local/sbin/havp
havp     69176  0.0  2.7 56996 55420  ??  I     4:03PM   0:00.26 /usr/local/sbin/havp
havp     69177  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69178  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.07 /usr/local/sbin/havp
havp     69179  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69180  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.06 /usr/local/sbin/havp
havp     69184  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69185  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.16 /usr/local/sbin/havp
havp     69186  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.04 /usr/local/sbin/havp
havp     69187  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.08 /usr/local/sbin/havp
havp     69190  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69191  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.11 /usr/local/sbin/havp
havp     69215  0.0  2.9 62368 60808  ??  I     4:04PM   0:00.18 /usr/local/sbin/havp
havp     69216  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.73 /usr/local/sbin/havp
havp     69243  0.0  2.9 62996 61436  ??  I     4:04PM   0:00.29 /usr/local/sbin/havp
havp     69244  0.0  2.7 56996 55440  ??  I     4:04PM   0:00.88 /usr/local/sbin/havp
havp     69245  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69246  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.06 /usr/local/sbin/havp
havp     69247  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69248  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.06 /usr/local/sbin/havp
havp     69253  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69254  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.06 /usr/local/sbin/havp
havp     69257  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69258  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.07 /usr/local/sbin/havp
havp     69261  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.04 /usr/local/sbin/havp
havp     69262  0.0  2.7 56996 55440  ??  I     4:04PM   0:00.08 /usr/local/sbin/havp
havp     69263  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69264  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69265  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69266  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.09 /usr/local/sbin/havp
havp     69267  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.04 /usr/local/sbin/havp
havp     69268  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.06 /usr/local/sbin/havp
havp     69269  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69270  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.07 /usr/local/sbin/havp
havp     69271  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69272  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69273  0.0  2.9 63148 61588  ??  I     4:04PM   0:00.27 /usr/local/sbin/havp
havp     69274  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.83 /usr/local/sbin/havp
havp     69275  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69276  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.07 /usr/local/sbin/havp
havp     69277  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.04 /usr/local/sbin/havp
havp     69278  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.04 /usr/local/sbin/havp
havp     69279  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69280  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69281  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69282  0.0  2.7 57060 55480  ??  I     4:04PM   0:00.06 /usr/local/sbin/havp
havp     69283  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69284  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.07 /usr/local/sbin/havp
havp     69285  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69286  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.08 /usr/local/sbin/havp
havp     69287  0.0  2.7 56996 55544  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69288  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.07 /usr/local/sbin/havp
havp     69289  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69290  0.0  2.7 56996 55384  ??  I     4:04PM   0:00.07 /usr/local/sbin/havp
havp     69291  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.04 /usr/local/sbin/havp
havp     69292  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.04 /usr/local/sbin/havp
havp     69293  0.0  2.7 56996 55428  ??  S     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69294  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.06 /usr/local/sbin/havp
havp     69295  0.0  2.7 57060 55492  ??  I     4:04PM   0:00.06 /usr/local/sbin/havp
havp     69296  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.15 /usr/local/sbin/havp
havp     69297  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69298  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.07 /usr/local/sbin/havp
havp     69299  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69300  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.08 /usr/local/sbin/havp
havp     69301  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69302  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.16 /usr/local/sbin/havp
havp     69303  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69304  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.06 /usr/local/sbin/havp
havp     69305  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69306  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.06 /usr/local/sbin/havp
havp     69308  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69309  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69312  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69313  0.0  2.7 56996 55420  ??  I     4:04PM   0:00.08 /usr/local/sbin/havp
havp     69315  0.0  2.7 56996 55428  ??  I     4:04PM   0:00.05 /usr/local/sbin/havp
havp     69316  0.0  2.7 56996 55408  ??  I     4:04PM   0:00.10 /usr/local/sbin/havp
havp     69324  0.0  2.7 56996 55428  ??  S     4:05PM   0:00.05 /usr/local/sbin/havp
havp     69325  0.0  2.7 56996 55408  ??  I     4:05PM   0:00.08 /usr/local/sbin/havp
havp     78982  0.0  2.6 56996 54872  ??  Ss    8Jul08   7:19.53 /usr/local/sbin/havp
root     71605  0.0  0.0  1512   892  p0  S+    4:59PM   0:00.00 grep havp

Код: Выделить всё

>sysctl -a | grep CPU
hw.model: Intel(R) Xeon(TM) CPU 2.80GHz
dev.cpu.0.%desc: ACPI CPU
dev.cpu.0.%location: handle=\_PR_.CPU1
dev.cpu.1.%desc: ACPI CPU
dev.cpu.1.%location: handle=\_PR_.CPU2
dev.cpu.2.%desc: ACPI CPU
dev.cpu.2.%location: handle=\_PR_.CPU3
dev.cpu.3.%desc: ACPI CPU
dev.cpu.3.%location: handle=\_PR_.CPU4
dev.acpi_throttle.0.%desc: ACPI CPU Throttling

Код: Выделить всё

last pid: 71830;  load averages:  0.02,  0.02,  0.00                                                                                
234 processes: 1 running, 233 sleeping
CPU states:  0.1% user,  0.0% nice,  0.0% system,  0.2% interrupt, 99.7% idle
Mem: 625M Active, 717M Inact, 243M Wired, 60M Cache, 112M Buf, 358M Free
Swap: 1000M Total, 80K Used, 1000M Free

Около 40 юзеров. Траффик в месяц 50-60 гиг.

[manefesto]

1 юзер(я) канал 64к

[barsykoff]

А это нормально, что в /usr/local/etc/rc.d/havp написано такое????

Код: Выделить всё

command="/usr/local/sbin/$name"
pidfile="/var/run/havp/${name}.pid"
required_dirs="/var/tmp/havp"

Я, блин, меняю расположение пида в конфиге, а он, цуко, все мне ошибку выдавал при рестарте или шатдауне...

Код: Выделить всё

havp not running? (check /var/run/havp/havp.pid).

Как заставить брать его данные из конфига, товарищи?

[barsykoff]

В общем, просто закомментил строку в rc-файле, и теперь он берет данные из конфига

Код: Выделить всё

command="/usr/local/sbin/$name"
#pidfile="/var/run/havp/${name}.pid"
required_dirs="/var/tmp/havp"

Еще полезная команда, позволяющая увидеть текущую конфигурацию:

Код: Выделить всё

havp -s

[smertnik]

Подскажите, куда копать: сканить отказывается
Логи:

Код: Выделить всё

30/07/2008 11:27:36 === Starting HAVP Version: 0.88
30/07/2008 11:27:36 === Mandatory locking disabled! KEEPBACK settings not used!
30/07/2008 11:27:36 Running as user: clamav, group: havp
30/07/2008 11:27:36 --- Initializing ClamAV Library Scanner
30/07/2008 11:27:36 ClamAV: Using database directory: /var/db/clamav
30/07/2008 11:27:39 ClamAV: Loaded 376130 signatures (engine 0.93.3)
30/07/2008 11:27:39 ClamAV Library Scanner passed EICAR virus test (Eicar-Test-Signature)
30/07/2008 11:27:39 --- All scanners initialized
30/07/2008 11:27:39 Process ID: 829
30/07/2008 11:54:24 close() failed: Connection reset by peer

Код: Выделить всё

tcp4       0      0  127.0.0.1.3127         127.0.0.1.58006        TIME_WAIT
tcp4       0      0  127.0.0.1.3127         127.0.0.1.55305        TIME_WAIT
tcp4       0      0  127.0.0.1.3127         127.0.0.1.65141        TIME_WAIT
tcp4       0      0  127.0.0.1.3127         127.0.0.1.59243        TIME_WAIT
tcp4       0      0  127.0.0.1.3127         127.0.0.1.63438        TIME_WAIT
tcp4       0      0  127.0.0.1.3127         127.0.0.1.65454        TIME_WAIT
tcp4       0      0  127.0.0.1.3127         127.0.0.1.65300        TIME_WAIT
tcp4       0      0  127.0.0.1.3127         127.0.0.1.56326        TIME_WAIT
tcp4       0      0  127.0.0.1.3127         127.0.0.1.53252        TIME_WAIT
tcp4       0      0  127.0.0.1.3127         *.*                    LISTEN

Код: Выделить всё

30/07/2008 12:05:31 192.168.11.169 GET 200 http://counter.rambler.ru/top100.cnt? 162+796 OK
30/07/2008 12:05:35 192.168.11.11 GET 200 http://siteanalytics.compete.com/favicon.ico 235+3638 OK
30/07/2008 12:05:35 192.168.11.11 GET 304 http://seodigger.com/favicon.ico 151+0 OK

Код: Выделить всё

1217405225.336    188 192.168.11.117 TCP_MISS/204 340 GET http://video-stats.video.google.com/s? user DIRECT/72.14.207.127 text/html
1217405225.356    593 192.168.11.117 TCP_MISS/200 402 GET http://www.youtube.com/tracker? user DIRECT/208.65.153.253 text/html

Код: Выделить всё

cache_peer 127.0.0.1 parent 3127 0 default no-query
acl FTP proto FTP
acl SSL_Ports proto SSL
always_direct allow FTP
always_direct allow SSL_Ports

[simple123]

А в этой связке у клиента браузер надо натравлять на порт где висит HAVP

[Morty]

клиент о havp ничего не знает,
ему настраиваешь как при обычном прокси, если прозрачный
то клиенту вообще ничего не нада делать

[Urgor]

А как сделать чтоб HAVP нормально относился к урлам в которых встречается подчеркивание?
Как пример __http://www.kyoceramita.com.au/files/1/KM_Exten ... n2k_XP.exe

[Sla]

это только у меня?
после обновления havp не выдает сообщение об обнаруженных вирусах на тестовых ссылках

Сначала в логах писало об ошибках инициализации сканера

22/08/2008 18:25:07 Running as user: havp, group: havp
22/08/2008 18:25:07 --- Initializing ClamAV Library Scanner
22/08/2008 18:25:07 ClamAV: Using database directory: /var/db/clamav
22/08/2008 18:25:07 ClamAV: Could not load database: Malformed database
22/08/2008 18:25:07 Error initializing ClamAV Library Scanner!

теперь пишет что все ок

26/08/2008 15:15:35 Running as user: havp, group: havp
26/08/2008 15:15:35 --- Initializing ClamAV Library Scanner
26/08/2008 15:15:35 ClamAV: Using database directory: /var/db/clamav
26/08/2008 15:15:41 ClamAV: Loaded 401508 signatures (engine 0.93.3)
26/08/2008 15:15:42 ClamAV Library Scanner passed EICAR virus test (Eicar-Test-Signa
26/08/2008 15:15:42 --- All scanners initialized

[Sla]

аааааа..... все нормально!
играясь, отключал havp, тянуло с кеша squid'а

[HidX]

Подскажите как сделать что бы вирусы проверялись только у определённой aсl группы юзеров. К примеру если squid с авторизацией в домене, то антивирус бы работал только у группы Domain users, а у группы Administrators антивирус бы не обрабатывал запросы. Просто не очень удобна задержка на проверку файлов, при закачке чего либо.... пользователи этого не замечают т.к. не качают. А вот администраторы....

З,Ы. squid собран по этому ману http://www.lissyara.su/?id=1375