Привет всем.
Ставлю сквид и икап по статье http://www.lissyara.su/?id=1128.
Все правильно встало, запускается, но меня сквид непускает в инет (ACL), использую полностью тот же конфиг сквида что и в статье, только поменял на свою подсеть, с 192.168.254.0/24 на 192.168.1.0/24, ну и исходящий адрес и имя хоста. Что делать?
squid+c-icap
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Stepanidos
- рядовой
- Сообщения: 10
- Зарегистрирован: 2006-03-21 11:26:11
- Откуда: Mukachevo, Ukraine
- Контактная информация:
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
Stepanidos
- рядовой
- Сообщения: 10
- Зарегистрирован: 2006-03-21 11:26:11
- Откуда: Mukachevo, Ukraine
- Контактная информация:
http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 1024 16 64
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr S.Len@vvvvvv.ru
visible_hostname mkz.mk.xxxx.net
tcp_outgoing_address xxx.xxx.xxx.xxx
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
icap_enable on
icap_preview_enable on
icap_preview_size 128
icap_send_client_ip on
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.1.0/24
http_access allow our_networks
http_access allow localhost
http_access deny all
icap_service service_1 reqmod_precache 0 icap://localhost:1344/srv_clamav
icap_service service_2 respmod_precache 1 icap://localhost:1344/srv_clamav
icap_class class_antivirus service_2 service_1
icap_access class_antivirus allow all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on
coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 1024 16 64
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr S.Len@vvvvvv.ru
visible_hostname mkz.mk.xxxx.net
tcp_outgoing_address xxx.xxx.xxx.xxx
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
icap_enable on
icap_preview_enable on
icap_preview_size 128
icap_send_client_ip on
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.0/8
acl our_networks src 192.168.1.0/24
http_access allow our_networks
http_access allow localhost
http_access deny all
icap_service service_1 reqmod_precache 0 icap://localhost:1344/srv_clamav
icap_service service_2 respmod_precache 1 icap://localhost:1344/srv_clamav
icap_class class_antivirus service_2 service_1
icap_access class_antivirus allow all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on
coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
-
Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
Stepanidos
- рядовой
- Сообщения: 10
- Зарегистрирован: 2006-03-21 11:26:11
- Откуда: Mukachevo, Ukraine
- Контактная информация:
-
Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
Stepanidos
- рядовой
- Сообщения: 10
- Зарегистрирован: 2006-03-21 11:26:11
- Откуда: Mukachevo, Ukraine
- Контактная информация:
-
Stepanidos
- рядовой
- Сообщения: 10
- Зарегистрирован: 2006-03-21 11:26:11
- Откуда: Mukachevo, Ukraine
- Контактная информация:
-
Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
Stepanidos
- рядовой
- Сообщения: 10
- Зарегистрирован: 2006-03-21 11:26:11
- Откуда: Mukachevo, Ukraine
- Контактная информация:
-
Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
Stepanidos
- рядовой
- Сообщения: 10
- Зарегистрирован: 2006-03-21 11:26:11
- Откуда: Mukachevo, Ukraine
- Контактная информация:
Код: Выделить всё
2006/08/18 10:13:17| Starting Squid Cache version 2.5.STABLE14 for i386-portbld-freebsd6.0...
2006/08/18 10:13:17| Process ID 845
2006/08/18 10:13:17| With 3584 file descriptors available
2006/08/18 10:13:17| Performing DNS Tests...
2006/08/18 10:13:17| Successful DNS name lookup tests...
2006/08/18 10:13:17| DNS Socket created at 0.0.0.0, port 55582, FD 5
2006/08/18 10:13:17| Adding nameserver 195.5.14.194 from /etc/resolv.conf
2006/08/18 10:13:17| Unlinkd pipe opened on FD 10
2006/08/18 10:13:17| Swap maxSize 1048576 KB, estimated 80659 objects
2006/08/18 10:13:17| Target number of buckets: 4032
2006/08/18 10:13:17| Using 8192 Store buckets
2006/08/18 10:13:17| Max Mem size: 32768 KB
2006/08/18 10:13:17| Max Swap size: 1048576 KB
2006/08/18 10:13:17| Rebuilding storage in /usr/local/squid/cache (DIRTY)
2006/08/18 10:13:17| Using Least Load store dir selection
2006/08/18 10:13:17| Set Current Directory to /usr/local/squid/cache
2006/08/18 10:13:17| Loaded Icons.
2006/08/18 10:13:23| Accepting HTTP connections at 0.0.0.0, port 3128, FD 11.
2006/08/18 10:13:23| Ready to serve requests.
2006/08/18 10:13:23| Done scanning /usr/local/squid/cache (0 entries)
2006/08/18 10:13:23| Finished rebuilding storage from disk.
2006/08/18 10:13:23| 0 Entries scanned
2006/08/18 10:13:23| 0 Invalid entries.
2006/08/18 10:13:23| 0 With invalid flags.
2006/08/18 10:13:23| 0 Objects loaded.
2006/08/18 10:13:23| 0 Objects expired.
2006/08/18 10:13:23| 0 Objects cancelled.
2006/08/18 10:13:23| 0 Duplicate URLs purged.
2006/08/18 10:13:23| 0 Swapfile clashes avoided.
2006/08/18 10:13:23| Took 5.5 seconds ( 0.0 objects/sec).
2006/08/18 10:13:23| Beginning Validation Procedure
2006/08/18 10:13:23| Completed Validation Procedure
2006/08/18 10:13:23| Validated 0 Entries
2006/08/18 10:13:23| store_swap_size = 0k
2006/08/18 10:13:25| storeLateRelease: released 0 objects
-
Stepanidos
- рядовой
- Сообщения: 10
- Зарегистрирован: 2006-03-21 11:26:11
- Откуда: Mukachevo, Ukraine
- Контактная информация:
Код: Выделить всё
1155885580.795 1 192.168.1.2 TCP_DENIED/403 1416 GET http://www.microsoft.com/isapi/redir.dll? - NONE/- text/html
1155885596.335 307 192.168.1.2 TCP_DENIED/403 1366 GET http://gala.net/ - NONE/- text/html
-
Stepanidos
- рядовой
- Сообщения: 10
- Зарегистрирован: 2006-03-21 11:26:11
- Откуда: Mukachevo, Ukraine
- Контактная информация:
это дает браузер
ERROR
The requested URL could not be retrieved
--------------------------------------------------------------------------------
While trying to retrieve the URL: http://rambler.ru/
The following error was encountered:
Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.
Your cache administrator is S.Len@veres.com.ua.
--------------------------------------------------------------------------------
Generated Fri, 18 Aug 2006 07:23:11 GMT by mkz1.mk.ukrtel.net (squid/2.5.STABLE14)
The requested URL could not be retrieved
--------------------------------------------------------------------------------
While trying to retrieve the URL: http://rambler.ru/
The following error was encountered:
Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.
Your cache administrator is S.Len@veres.com.ua.
--------------------------------------------------------------------------------
Generated Fri, 18 Aug 2006 07:23:11 GMT by mkz1.mk.ukrtel.net (squid/2.5.STABLE14)
-
Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
Stepanidos
- рядовой
- Сообщения: 10
- Зарегистрирован: 2006-03-21 11:26:11
- Откуда: Mukachevo, Ukraine
- Контактная информация:
-
xeno
- проходил мимо
squid acls
да запросто :)
в squid.conf написать :
Хмм...вопрос,а зачем их вырубать?Если вылезает такая ошибка,значит,ACL настроены не правильно.Для отладки можно воспользоваться таким штатным методом:
опять же,в squid.conf пишем:
28 - это всё,что связано с ACL
создаём(mkdir -p) /usr/local/squid/logs и делаем владельцем (chown) squid:squid
Рестартим сквид,лезем куда-нить и смотрим cache.log - он здорооовый получается..Там ищем строки,в которых присутствует запрашиваемая страница.Например,мне интересно,почему не пускает на https://secure.eicar.org/download/eicar.com .Тогда more cache.log | grep secure.eicar.org - смотрю на время первого сообщения и в ее ищу это самое время.Дальше начинаю смотреть,какие проверки проходят:
Теперь,когда мы выяснили,что запрашиваемая страница действительно подпадает под правило по умолчанию - "отколнить всё", думаем,как бы это изменить:). Проще всего добавить .eicar.org к ACL SSL :). Пробуем.Рестартим.Чистим лог.
Смотрим:
в squid.conf написать :
Код: Выделить всё
acl all src 0/0
http_access allow all
http_access deny allопять же,в squid.conf пишем:
Код: Выделить всё
#примерный список правил:
acl admins src 192.168.0.10 127.0.0.1
acl safe_ports port 80
acl ssl_ports port 443
acl SSL dstdom_regex .mydomain.
acl all src 0/0
http_access allow admins safe_ports
http_access allow admins SSL ssl_ports
http_access deny all
cache_access_log /usr/local/squid/logs/access.log
cache_store_log /usr/local/squid/logs/store.log
cache_log /usr/local/squid/logs/cache.log
Debug_options All,1 28,9создаём(mkdir -p) /usr/local/squid/logs и делаем владельцем (chown) squid:squid
Рестартим сквид,лезем куда-нить и смотрим cache.log - он здорооовый получается..Там ищем строки,в которых присутствует запрашиваемая страница.Например,мне интересно,почему не пускает на https://secure.eicar.org/download/eicar.com .Тогда more cache.log | grep secure.eicar.org - смотрю на время первого сообщения и в ее ищу это самое время.Дальше начинаю смотреть,какие проверки проходят:
Код: Выделить всё
2006/10/04 17:33:23| aclMatchRegex: checking 'secure.eicar.org'
2006/10/04 17:33:23| aclMatchRegex: looking for '.mydomain.'
2006/10/04 17:33:23| aclMatchAclList: no match, returning 0
2006/10/04 17:33:23| aclCheck: checking 'http_access allow admins safe_ports'
2006/10/04 17:33:23| aclMatchAclList: checking admins
2006/10/04 17:33:23| aclMatchAcl: checking 'acl admins src 192.168.0.10 127.0.0.1'
2006/10/04 17:33:23| aclMatchIp: '192.168.0.10' found
2006/10/04 17:33:23| aclMatchAclList: checking safe_ports
2006/10/04 17:33:23| aclMatchAcl: checking 'acl safe_ports port 80'
2006/10/04 17:33:23| aclMatchAclList: no match, returning 0
2006/10/04 17:33:23| aclMatchAcl: checking 'acl SSL dstdom_regex .mydomain.
2006/10/04 17:33:23| aclMatchRegex: checking 'secure.eicar.org'
2006/10/04 17:33:23| aclMatchAclList: no match, returning 0
*****(ага!)*****
2006/10/04 17:33:23| aclMatchAcl: checking 'acl all src 0/0'
2006/10/04 17:33:23| aclMatchIp: '192.168.0.10' found
2006/10/04 17:33:23| aclMatchAclList: returning 1
2006/10/04 17:33:23| aclCheck: match found, returning 0
2006/10/04 17:33:23| aclCheckCallback: answer=0(запрещено)
Код: Выделить всё
acl SSL dstdom_regex .mydomain. .eicar.org Код: Выделить всё
2006/10/04 17:46:24| aclMatchAcl: checking 'acl SSL dstdom_regex .mydomain. .eicar.org
2006/10/04 17:46:24| aclMatchRegex: checking 'secure.eicar.org'
2006/10/04 17:46:24| aclMatchRegex: looking for '.mydomain.'
2006/10/04 17:46:24| aclMatchRegex: looking for '.eicar.org'
2006/10/04 17:46:24| aclMatchAclList: checking admins
2006/10/04 17:46:24| aclMatchAcl: checking 'acl admins src 192.168.0.10 127.0.0.1'
2006/10/04 17:46:24| aclMatchIp: '192.168.0.10' found
2006/10/04 17:46:24| aclMatchAclList: checking ssl_ports
2006/10/04 17:46:24| aclMatchAcl: checking 'acl ssl_ports port 443'
2006/10/04 17:46:24| aclMatchAclList: returning 1
2006/10/04 17:46:24| aclCheck: match found, returning 1
2006/10/04 17:46:24| aclCheckCallback: answer=1(ура:) )
-
xeno
- проходил мимо
c_icap
а теперь,внимание,вопрос :)
c_icap великолепно обнаруживает вирусы на http://www.eicar.com/download, но почему-то он не работает с SSLной версией сайта...
И ищё,что бы такое подправить,чтобы в /var/log/c_icap/server.log писалась инфа о том,кто и когда запросил вирус,а то
не слишком информативно...
Спасибо :)
c_icap великолепно обнаруживает вирусы на http://www.eicar.com/download, но почему-то он не работает с SSLной версией сайта...
И ищё,что бы такое подправить,чтобы в /var/log/c_icap/server.log писалась инфа о том,кто и когда запросил вирус,а то
Код: Выделить всё
Oct 4 17:56:07 server C-ICAP:: 127.0.0.1, 127.0.0.1, RESPMOD, srv_clamav , OK
Oct 4 17:56:07 server C-ICAP:: 127.0.0.1, 127.0.0.1, RESPMOD, srv_clamav , OK
Спасибо :)
-
dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: c_icap
Антивирус через SSL работать не будет.xeno писал(а):а теперь,внимание,вопрос
c_icap великолепно обнаруживает вирусы на http://www.eicar.com/download, но почему-то он не работает с SSLной версией сайта...
И ищё,что бы такое подправить,чтобы в /var/log/c_icap/server.log писалась инфа о том,кто и когда запросил вирус,а тоне слишком информативно...Код: Выделить всё
Oct 4 17:56:07 server C-ICAP:: 127.0.0.1, 127.0.0.1, RESPMOD, srv_clamav , OK Oct 4 17:56:07 server C-ICAP:: 127.0.0.1, 127.0.0.1, RESPMOD, srv_clamav , OK
Спасибо
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
SteelS
- сержант
- Сообщения: 169
- Зарегистрирован: 2008-07-21 10:12:58
- Откуда: Chicago, USA
Re: squid+c-icap
WARNING: Multiple ICAP services per icap_class are not yet supported. See Squid bug #2087 <== Это мне не нравится.... прокся не грузится вообще. (тоесть антивир пропускает вируса)
сквидовский ло:
Код: Выделить всё
joker# sockstat | grep icap
squid c-icap 31064 3 tcp4 *:1344 *:*
squid c-icap 31064 4 dgram -> /var/run/logpriv
squid c-icap 31063 3 tcp4 *:1344 *:*
squid c-icap 31063 4 dgram -> /var/run/logpriv
squid c-icap 31062 3 tcp4 *:1344 *:*
squid c-icap 31062 4 dgram -> /var/run/logpriv
squid c-icap 31061 3 tcp4 *:1344 *:*
squid c-icap 31061 4 dgram -> /var/run/logpriv
joker# squid -k reconfigure
2009/05/13 14:45:05| WARNING: Multiple ICAP services per icap_class are not yet supported. See Squid bug #2087.Код: Выделить всё
==> /var/log/squid/cache.log <==
2009/05/13 14:45:31| Starting Squid Cache version 3.0.STABLE14 for amd64-portbld-freebsd7.1...
2009/05/13 14:45:31| Process ID 31093
2009/05/13 14:45:31| With 3520 file descriptors available
2009/05/13 14:45:31| Performing DNS Tests...
2009/05/13 14:45:31| Successful DNS name lookup tests...
2009/05/13 14:45:31| DNS Socket created at 0.0.0.0, port 50789, FD 6
2009/05/13 14:45:31| Adding nameserver 217.77.212.2 from /etc/resolv.conf
2009/05/13 14:45:31| Adding nameserver 192.168.0.50 from /etc/resolv.conf
2009/05/13 14:45:32| Unlinkd pipe opened on FD 12
2009/05/13 14:45:32| Swap maxSize 1048576 KB, estimated 80659 objects
2009/05/13 14:45:32| Target number of buckets: 4032
2009/05/13 14:45:32| Using 8192 Store buckets
2009/05/13 14:45:32| Max Mem size: 32768 KB
2009/05/13 14:45:32| Max Swap size: 1048576 KB
2009/05/13 14:45:32| Version 1 of swap file without LFS support detected...
2009/05/13 14:45:32| Rebuilding storage in /usr/local/squid/cache (DIRTY)
2009/05/13 14:45:32| Using Least Load store dir selection
2009/05/13 14:45:32| Set Current Directory to /usr/local/squid/cache
2009/05/13 14:45:32| Loaded Icons.
2009/05/13 14:45:32| Accepting HTTP connections at 0.0.0.0, port 3128, FD 14.
2009/05/13 14:45:32| commBind: Cannot bind socket FD 15 to *:3128: (48) Address already in use
2009/05/13 14:45:32| HTCP Disabled.
2009/05/13 14:45:32| Ready to serve requests.
2009/05/13 14:45:32| Done reading /usr/local/squid/cache swaplog (9 entries)
2009/05/13 14:45:32| Finished rebuilding storage from disk.
2009/05/13 14:45:32| 9 Entries scanned
2009/05/13 14:45:32| 0 Invalid entries.
2009/05/13 14:45:32| 0 With invalid flags.
2009/05/13 14:45:32| 9 Objects loaded.
2009/05/13 14:45:32| 0 Objects expired.
2009/05/13 14:45:32| 0 Objects cancelled.
2009/05/13 14:45:32| 0 Duplicate URLs purged.
2009/05/13 14:45:32| 0 Swapfile clashes avoided.
2009/05/13 14:45:32| Took 0.05 seconds (183.05 objects/sec).
2009/05/13 14:45:32| Beginning Validation Procedure
2009/05/13 14:45:32| Completed Validation Procedure
2009/05/13 14:45:32| Validated 43 Entries
2009/05/13 14:45:32| store_swap_size = 126
2009/05/13 14:45:33| storeLateRelease: released 0 objects
Linux - на десктоп
FreeBSD - на сервер
Вывод: NIX - В массы.
FreeBSD - на сервер
Вывод: NIX - В массы.
-
NeoN_Light
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2008-08-19 10:44:34
Re: squid+c-icap
Brain, use it! 
SteelS писал(а):Код: Выделить всё
2009/05/13 14:45:32| commBind: Cannot bind socket FD 15 to *:3128: (48) Address already in use
Security is a process, not a product (Bruce Schneier)
-
SteelS
- сержант
- Сообщения: 169
- Зарегистрирован: 2008-07-21 10:12:58
- Откуда: Chicago, USA
Re: squid+c-icap
Конфиги из статьи(с мелкими поправками под сеть), eicar обнаруживает только каспер.
SQUId - из портов
cicap тоже из портов
chown`ы стоят на squid`a
SQUId - из портов
cicap тоже из портов
Код: Выделить всё
Tue Jul 21 13:04:19 2009, general, Error opening control socket:/var/run/c-icap/c-icap.ctl.Fatal error, exiting!
Tue Jul 21 13:29:26 2009, general, Going to reconfigure system!Linux - на десктоп
FreeBSD - на сервер
Вывод: NIX - В массы.
FreeBSD - на сервер
Вывод: NIX - В массы.
-
BlackPhantom
- мл. сержант
- Сообщения: 128
- Зарегистрирован: 2007-11-02 11:34:10
Re: squid+c-icap
Успешно поднял проверку на вирусы в связке FreeBSD 7.1 + squid-3.0.16 + c-icap-060708_1,1
все ставил из портов.
squid.conf
c-icap.conf
коменты из конфигов поудалял.
все ставил из портов.
squid.conf
Код: Выделить всё
icap_enable on
icap_preview_enable on
icap_preview_size 128
icap_send_client_ip on
icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav
icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav
icap_class class_antivirus service_avi
icap_class class_antivirus service_avi_req
icap_access class_antivirus allow all
c-icap.conf
Код: Выделить всё
PidFile /var/run/c-icap.pid
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 600..
StartServers 4
MaxServers 20
MinSpareThreads 20
MaxSpareThreads 40
ThreadsPerChild 10
MaxRequestsPerChild 0
Port 1344.
User cicap
Group cicap
TmpDir /var/tmp
MaxMemObject 131072
ServerLog /var/log/c_icap/server.log
AccessLog /var/log/c_icap/access.log
DebugLevel 1
ModulesDir /usr/local/lib/c_icap
Module logger sys_logger.so
sys_logger.Prefix "C-ICAP:"
sys_logger.Facility local1
Logger file_logger
acl localnet_options src 127.0.0.1 type options
acl localnet_respmod src 127.0.0.1 type respmod
icap_access allow localnet_options
icap_access allow localnet_respmod
ServicesDir /usr/local/lib/c_icap
Service echo_module srv_echo.so
Service url_check_module srv_url_check.so
Service antivirus_module srv_clamav.so
srv_clamav.ScanFileTypes TEXT DATA EXECUTABLE ARCHIVE GIF JPEG MSOFFICE
srv_clamav.SendPercentData 5
srv_clamav.StartSendPercentDataAfter 256k
srv_clamav.MaxObjectSize 1M
srv_clamav.ClamAvMaxFilesInArchive 0
srv_clamav.ClamAvMaxFileSizeInArchive 10M
srv_clamav.ClamAvMaxRecLevel 5
-
SAM
- ефрейтор
- Сообщения: 66
- Зарегистрирован: 2010-03-18 12:15:07
- Откуда: Москва
- Контактная информация:
Re: squid+c-icap
К сведению. Настройка из статьи замечательно работает!
НО, заметил интересную фичу. В браузере Internet Explorer все ништяк. К нему нет претензий.
Если стоит что-то вроде Firefox или chrome, которые используют встроенные downloader-ы, то вирусы могут проникнуть. Так как эти downloader-ы могут работать в обход прокси. Причем им по барабану системные настройки прокси, они ломятся по любому возможному доступу.
Поэтому блокируйте HTTP трафик в обход прокси. Или тупо заворачивайте все на проксю.
Ну и..
Успешно настроил, все из портов, следующее:
freebsd 8.0 release
squid v3.0
sams v1.0.5
winbind
c-icap v 060708_2,1
clamav v0.96
rejik v3.2.5
НО, заметил интересную фичу. В браузере Internet Explorer все ништяк. К нему нет претензий.
Если стоит что-то вроде Firefox или chrome, которые используют встроенные downloader-ы, то вирусы могут проникнуть. Так как эти downloader-ы могут работать в обход прокси. Причем им по барабану системные настройки прокси, они ломятся по любому возможному доступу.
Поэтому блокируйте HTTP трафик в обход прокси. Или тупо заворачивайте все на проксю.
Ну и..
Успешно настроил, все из портов, следующее:
freebsd 8.0 release
squid v3.0
sams v1.0.5
winbind
c-icap v 060708_2,1
clamav v0.96
rejik v3.2.5
-
nevzorofff
- рядовой
- Сообщения: 36
- Зарегистрирован: 2009-01-25 13:08:17
Re: squid+c-icap
Не хочет с-icap почему-то принимать соединения.
сквид 3.1.10 и c-icap-060708_2,1 из портов
конфиги
икап, разрешено всем намеренно, в процессе поиска
tcpdump обмена прокси и с-icap
Сквид в браузер пишет:
Запуска c-icap в отладке:
Вс это вываливается при запуске, в момент обращения к сквиду - ничо больше не пишет
Хотя си-икап виси и слушает порт:
сквид 3.1.10 и c-icap-060708_2,1 из портов
конфиги
Код: Выделить всё
cat squid.conf
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 192.168.84.0/24
acl localnet src 192.168.85.0/24
acl SSL_ports port 443
acl SSL_ports port 8443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
icp_access allow localnet
icp_access deny all
htcp_access allow localnet
htcp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
cache_dir ufs /storage/squidcache 4096 64 256
maximum_object_size 512 KB
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
icap_log /var/log/squid/icap.log
cache_store_log none
logfile_rotate 10
url_rewrite_program /usr/local/rejik/redirector /usr/local/etc/redirector.conf
url_rewrite_children 8
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
visible_hostname server.local
icp_port 3130
icap_enable on
icap_preview_enable on
icap_preview_size 128
icap_send_client_ip on
icap_service service_avi_req reqmod_precache 0 icap://192.168.84.253/srv_clamav
icap_service service_avi respmod_precache 1 icap://192.168.84.253/srv_clamav
adaptation_service_set service_avi service_avi_req
adaptation_access service_avi allow all
adaptation_access service_avi_req allow all
икап, разрешено всем намеренно, в процессе поиска
Код: Выделить всё
cat c-icap.conf | grep -v '^#' | sed '/^$/d'
cat: c-icap.conf: No such file or directory
niko-gw# cd /usr/local/etc
niko-gw# cat c-icap.conf | grep -v '^#' | sed '/^$/d'
PidFile /var/run/c-icap.pid
CommandsSocket /var/run/c-icap/c-icap.ctl
Timeout 300
KeepAlive On
MaxKeepAliveRequests 600
KeepAliveTimeout 600
StartServers 3
MaxServers 10
MinSpareThreads 10
MaxSpareThreads 20
ThreadsPerChild 10
MaxRequestsPerChild 0
Port 1344
User cicap
Group cicap
TmpDir /tmp/
MaxMemObject 131072
ServerLog /var/log/c_icap/server.log
AccessLog /var/log/c_icap/access.log
DebugLevel 1
ModulesDir /usr/local/lib/c_icap
Module logger sys_logger.so
sys_logger.Prefix "C-ICAP:"
sys_logger.Facility local1
Logger sys_logger
acl squid_respmod src 192.168.84.0/255.255.255.0 type respmod
acl squid_options src 192.168.84.0/255.255.255.0 type options
acl any src 0.0.0.0/0.0.0.0
icap_access allow squid_respmod
icap_access allow squid_options
icap_access allow any
ServicesDir /usr/local/lib/c_icap
Service echo_module srv_echo.so
Service url_check_module srv_url_check.so
Service antivirus_module srv_clamav.so
ServiceAlias avscan srv_clamav?allow204=on&sizelimit=off&mode=simple
srv_clamav.ScanFileTypes TEXT DATA EXECUTABLE ARCHIVE GIF JPEG MSOFFICE
srv_clamav.SendPercentData 5
srv_clamav.StartSendPercentDataAfter 2M
srv_clamav.MaxObjectSize 5M
srv_clamav.ClamAvTmpDir /tmp/
srv_clamav.ClamAvMaxFilesInArchive 0
srv_clamav.ClamAvMaxFileSizeInArchive 100M
srv_clamav.ClamAvMaxRecLevel 5
srv_clamav.VirSaveDir /var/infected
srv_clamav.VirHTTPServer "DUMMY"
srv_clamav.VirUpdateTime 15
srv_clamav.VirScanFileTypes ARCHIVE EXECUTABLE
Код: Выделить всё
tcpdump -npi tap0 port 1344
tcpdump: WARNING: tap0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap0, link-type EN10MB (Ethernet), capture size 96 bytes
12:32:31.157214 IP 192.168.84.254.34482 > 192.168.84.253.1344: Flags [S], seq 1466692851, win 65535, options [mss 1337,nop,wscale 3,sackOK,TS val 136294970 ecr 0], length 0
12:32:31.157389 IP 192.168.84.253.1344 > 192.168.84.254.34482: Flags [S.], seq 187600070, ack 1466692852, win 65535, options [mss 1337,nop,wscale 3,sackOK,TS val 2911239331 ecr 136294970], length 0
12:32:31.161123 IP 192.168.84.254.34482 > 192.168.84.253.1344: Flags [.], ack 1, win 8281, options [nop,nop,TS val 136294972 ecr 2911239331], length 0
12:32:31.161536 IP 192.168.84.254.34482 > 192.168.84.253.1344: Flags [F.], seq 1, ack 1, win 8281, options [nop,nop,TS val 136294972 ecr 2911239331], length 0
12:32:31.161681 IP 192.168.84.253.1344 > 192.168.84.254.34482: Flags [.], ack 2, win 8281, options [nop,nop,TS val 2911239336 ecr 136294972], length 0
12:32:31.162434 IP 192.168.84.253.1344 > 192.168.84.254.34482: Flags [F.], seq 1, ack 2, win 8281, options [nop,nop,TS val 2911239336 ecr 136294972], length 0
12:32:31.163591 IP 192.168.84.254.34482 > 192.168.84.253.1344: Flags [.], ack 2, win 8281, options [nop,nop,TS val 136294977 ecr 2911239336], length 0
Сквид в браузер пишет:
Код: Выделить всё
При получении URL http://dealextreme.com/ произошла следующая ошибка
Ошибка протокола ICAP.
Система вернула: [No Error]
Это означает, что какой-то этап связи по протоколу ICAP не удался.
Возможные проблемы:
Сервер ICAP недоступен
Получен недопустимый ответ от сервера ICAP.Код: Выделить всё
c-icap -D -N -d 10
Enabling parameter -D
Disabling parameter -N
Setting parameter :-d=10
Searching 0x805d02c for default value
Setting parameter :PidFile=/var/run/c-icap.pid
Searching 0x805d030 for default value
Setting parameter :CommandsSocket=/var/run/c-icap/c-icap.ctl
Searching 0x805d050 for default value
Setting parameter :Timeout=300
Searching 0x805d058 for default value
Setting parameter :MaxKeepAliveRequests=600
Searching 0x805d054 for default value
Setting parameter :KeepAliveTimeout=600
Searching 0x805d060 for default value
Setting parameter :StartServers=3
Searching 0x805d064 for default value
Setting parameter :MaxServers=10
Searching 0x805d06c for default value
Setting parameter :MinSpareThreads=10
Searching 0x805d070 for default value
Setting parameter :MaxSpareThreads=20
Searching 0x805d068 for default value
Setting parameter :ThreadsPerChild=10
Searching 0x805d864 for default value
Setting parameter :MaxRequestsPerChild=0
Searching 0x805d020 for default value
Setting parameter :Port=1344
Searching 0x805d034 for default value
Setting parameter :User=cicap
Searching 0x805d038 for default value
Setting parameter :Group=cicap
Searching 0x805d028 for default value
Setting parameter :TmpDir=/tmp/
Searching 0x805d844 for default value
Setting parameter :MaxMemObject=131072
Searching 0x805d3d0 for default value
Setting parameter :ServerLog=/var/log/c_icap/server.log
Searching 0x805d3d4 for default value
Setting parameter :AccessLog=/var/log/c_icap/access.log
Searching 0x805d85c for default value
Setting parameter :DebugLevel=1
Setting parameter :ModulesDir=/usr/local/lib/c_icap
Loading service :logger path sys_logger.so
Going to search variable Prefix in table sys_logger
Setting parameter :Prefix=C-ICAP:
Going to search variable Facility in table sys_logger
Setting parameter :Logger=sys_logger
Setting parameter :ServicesDir=/usr/local/lib/c_icap
Loading service :echo_module path srv_echo.so
Found handler C_handler for service with extension:.so
Loading service :url_check_module path srv_url_check.so
Found handler C_handler for service with extension:.so
Initialization of url_check module......
Loading service :antivirus_module path srv_clamav.so
Found handler C_handler for service with extension:.so
Alias:avscan of service srv_clamav
Going to search variable ScanFileTypes in table srv_clamav
Iam going to scan data for simple scanning of type:,GIF,JPEG,MSOFFICE,TEXT,DATA,EXECUTABLE,ARCHIVE
Going to search variable SendPercentData in table srv_clamav
Setting parameter :SendPercentData=5
Going to search variable StartSendPercentDataAfter in table srv_clamav
Setting parameter :StartSendPercentDataAfter=2097152
Going to search variable MaxObjectSize in table srv_clamav
Setting parameter :MaxObjectSize=5242880
Going to search variable ClamAvTmpDir in table srv_clamav
Setting parameter :ClamAvTmpDir=/tmp/
Going to search variable ClamAvMaxFilesInArchive in table srv_clamav
Setting parameter :ClamAvMaxFilesInArchive=0
Going to search variable ClamAvMaxFileSizeInArchive in table srv_clamav
Setting parameter :ClamAvMaxFileSizeInArchive=104857600
Going to search variable ClamAvMaxRecLevel in table srv_clamav
Setting parameter :ClamAvMaxRecLevel=5
Going to search variable VirSaveDir in table srv_clamav
Setting parameter :VirSaveDir=/var/infected
Going to search variable VirHTTPServer in table srv_clamav
Setting parameter :VirHTTPServer=DUMMY
Going to search variable VirUpdateTime in table srv_clamav
Setting parameter :VirUpdateTime=15
Going to search variable VirScanFileTypes in table srv_clamav
Iam going to scan data for vir_mode scanning of type:,EXECUTABLE,ARCHIVE
My hostname is:niko-gw.o56.ru
Хотя си-икап виси и слушает порт:
Код: Выделить всё
cicap c-icap 95318 3 tcp4 *:1344 *:*
cicap c-icap 95318 4 dgram -> /var/run/logpriv
cicap c-icap 95317 3 tcp4 *:1344 *:*
cicap c-icap 95317 4 dgram -> /var/run/logpriv
cicap c-icap 95316 3 tcp4 *:1344 *:*
cicap c-icap 95316 4 dgram -> /var/run/logpriv
cicap c-icap 95315 3 tcp4 *:1344 *:*
cicap c-icap 95315 4 dgram -> /var/run/logpriv
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 *.1344 *.* LISTEN
-
Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: squid+c-icap
оно вам надо?
незнаю как щас но лет 5 назад - очень нестабильно работало
незнаю как щас но лет 5 назад - очень нестабильно работало
Убей их всех! Бог потом рассортирует...