forum.lissyara.su

а havp умеет basic авторизацию делать на вышестоящем прокси? С ntlm то проблем нет, а вот basic как прописать?

Позволю себе еще раз тему поднять. Если я правильно понимаю, то в этой связке clamav не работает в режиме демона, у меня по крайней мере в списке процессов clamav нет. Т.е. он вызывается каждый раз для проверки каждого объекта. А как повесить clamav демоном?

Что - то я не как не пойму....
1) Если сквид работает в прозрачном режиме, на какой порт заворачивать трафик (в файрволе )на 3128 или на 3127 ???

2)Сейчас весь трафик завернуть на 3128 порт инет есть, но тестовые файлы (http://www.eicar.org/download/eicar_com.zip) закачиваются на ура ...

p.s. Может это пятница так влияет ...

Hi All !

Есть сабж: P-II-450/380mb/40Gb, установлена FreeBSD 7.0, при запуске :
/usr/local/etc/rc.d/>./havp start
Выдает ошибку :
Starting havp.
Starting HAVP Version: 0.88
Mandatory locking disabled! KEEPBACK settings not used!
One or more scanners failed to initialize!
Check errorlog for errors.
Exiting..

В логах:
Clamd: Could not connect to scanner! Scanner down?
31/03/2009 10:00:57 ERROR: Clamd Socket Scanner failed EICAR virus test! (Could not connect to scanner socket)

Собственно сабж настраивался по статье..., до этого на трех шлюзах встал без проблем (с первым правда попрыгал )..., а вот на четвертом какая-то ошибка, в какую сторону копать не знаю , я понимаю что HAVP не может найти/инициализировать сканер..., но почему ???

в /var/run/clamav процесс есть freshclam.pid
и сам Clamav обновляется в логах есть
Received signal: wake up
ClamAV update process started at Tue Mar 31 02:35:26 2009
main.cld is up to date (version: 50, sigs: 500667, f-level: 38, builder: sven)

Спасибо за статью.
Запустил HAVP на проекте pfSense (FreeBSD). Сначала использовал clamlib, но каждый запуск-перезапуск HAVP с длительным перечитыванием базы достал, поэтому сконфигурировал на CLAMD через TCP сокет.
HAVP и CLAMD работают под одним пользователем.
Плюс такой схемы - менше расход памяти, и намного быстрее рестартует HAVP, что важно при изменении конфигурации пользователем через веб интерфейс. CLAMD стартует при загрузке системы и висит все время в памяти.

В настоящий момент стабильно работает связка inet > havp > squid > client вот с такими параметрами конфига сквида: При такой схеме нужно отсканировать кэш сквида встроенной утилитой clamscan/clamdscan

RAM память - тестирую вот такие варианты
# 1. SWAP
# mdconfig -a -t swap -s 64M -u 10
# newfs -U /dev/md10
# mount /dev/md10 /var/tmp/havp

# 2. RAM - possible more quickly, used physical RAM
/sbin/mdmfs -s 64M md10 /var/tmp/havp

Поправочка по RAM - тестируется временный каталог HAVP, смонтированный в RAM .

Мое почтение всем
Не получается запустить HAVP с использованием ClamAV Socket Scanner. получаю вот такую ошибку . C использованием ClamAV Library Scanner все работает без проблем.
Проверил разрешения,все вроде на первый взгляд выглядит нормально. При использовании ClamAV Socket Scanner HAVP запускал от имени Clamav.
Кто запустил HAVP с использованием ClamAV Socket Scanner подскажите куда копать,буду очень признателен

у кого стоит данная связка, посмотрите у себя один нюанс
например зайдите на сайт havp должен среагировать и не пустить,
затем нажмите обновить страницу, у меня начинает пускать...
или у меня havp неправильно настроен или ещё что то....

чудно. Только что пробовал из двух разных мест. не пускает, пишет JS.Agent-3 нормально пускает. При этом клиентский лицензионный каспер с последними базами тоже, в принципе, не против.

Чёт я не понял, 3 часа уже ебусь!

Добовляю В сквид
Естественно запускаю сам хавп на 3127 порту
делаю И не хрена не работает этот антивирус!!!
а если я в ручную ввиду порт в настройках браузера 3127, то начинает работать, но тада естественно сквид не работает, а он у меня с rejik режет порно

Режик отрубать пытался не помогло.
Пытался без fwd не помогло.
Пытался делать сначало Хавп, потом сквид не помогло.

в логах сквида Configuring Parent 127.0.0.1/3127/0 !!! ЕСТЬ!

Версию сквида уже вон 3.1 поставил, пиздец просто какой-то, не кидает сквид на обработку файлы и всё тут!!!

Ну помогите ёпть блин!

Уважаемый, скорее всего вы забылы установить драйвера для рук :-)
Если "связка" пропускает eicar - то Вы явно чето пропустили при настройке (или eicar у Вас уже в сквидовом кеше сидит):-)
С рар-ами у меня точно все нормально, такшо опять же см. п.1

Про драйвер для рук - отлично закрутил ))
А к кеше спокойно сидеть может, я его еще подхватил, когда неудачно устравил i-icap )
Как бы теперь почистить кеш;)

shamahn писал(а):Как бы теперь почистить кеш;)

/usr/local/etc/squid stop
rm -rf /var/squid/cache
Или где он там у вас лежит (в squid.conf строка cache_dir)
squid -z
/usr/local/etc/squid start

Urgor писал(а): /usr/local/etc/squid stop
rm -rf /var/squid/cache
Или где он там у вас лежит (в squid.conf строка cache_dir)
squid -z
/usr/local/etc/squid start

Это была шутка)) я нагуглил уже как это сделать;););) и оказался прав мой уважаемый оппонент, этот файлик действительно валялся в кэше) Спасибо всем за помощь) С каждым днем остается все меньше и меньше граблей

moadip писал(а):у кого стоит данная связка, посмотрите у себя один нюанс
например зайдите на сайт

Код: Выделить всё

ziza.ru

havp должен среагировать и не пустить,
затем нажмите обновить страницу, у меня начинает пускать...
или у меня havp неправильно настроен или ещё что то....

народ у меня пропускает - а проверочные страницы нет(точнее тестовые ссылки Download area using the standard protocol http!блокируются, а ссылки по Download area using the secure, SSL enabled protocol https НЕТ????

И все что не пробывал в интернете затестить - всё пропускает! Хотя изначально знаю что данные страницы и файлы, архивы .... заражены и антивирусы на них "верезжат"!!!
Это то есть защита не работает?????

И вот это чот разобрать не могу:

squid -k reconfigure
2009/12/19 01:15:44| ACL name 'SSL_Ports' not defined!
FATAL: Bungled squid.conf line 84: always_direct allow SSL_Ports
Squid Cache (Version 2.7.STABLE7): Terminated abnormally.

Это как понимаю надо добавить: acl SSL_Ports proto SSL_Ports
НО В СТАТЬЕ ЭТОГО НЕ БЫЛО!!!!!


/var/log/havp/havp.log

19/12/2009 01:15:13 === Starting HAVP Version: 0.91
19/12/2009 01:15:13 === Mandatory locking disabled! KEEPBACK settings not used!
19/12/2009 01:15:13 Running as user: havp, group: havp
19/12/2009 01:15:13 --- Initializing ClamAV Library Scanner
19/12/2009 01:15:13 ClamAV: Using database directory: /var/db/clamav
19/12/2009 01:15:22 ClamAV: Loaded 675256 signatures (engine 0.95.3)
19/12/2009 01:15:22 ClamAV Library Scanner passed EICAR virus test (Eicar-Test-Signature)
19/12/2009 01:15:22 --- All scanners initialized
19/12/2009 01:15:22 Process ID: 1498

/var/log/havp/error.log

18/12/2009 00:37:44 === Starting HAVP Version: 0.91
18/12/2009 00:37:44 === Mandatory locking disabled! KEEPBACK settings not used!
18/12/2009 00:37:44 Running as user: havp, group: havp
18/12/2009 00:37:44 --- Initializing ClamAV Library Scanner
18/12/2009 00:37:44 ClamAV: Using database directory: /var/db/clamav
18/12/2009 00:37:52 ClamAV: Loaded 675225 signatures (engine 0.95.3)
18/12/2009 00:37:52 ClamAV Library Scanner passed EICAR virus test (Eicar-Test-Signature)
18/12/2009 00:37:52 --- All scanners initialized
18/12/2009 00:37:52 Process ID: 38814

/var/log/havp/access.log

19/12/2009 01:50:10 192.168.0.2 GET 304 http_://www.eicar.org/anti_virus_test_file.htm 202+0 OK
19/12/2009 01:50:10 192.168.0.2 GET 304 http_://www.eicar.org/print.css 179+0 OK
19/12/2009 01:50:10 192.168.0.2 GET 304 http_://www.eicar.org/eicar_nav.css 179+0 OK
19/12/2009 01:50:10 192.168.0.2 GET 304 http_://www.eicar.org/eicar_css.css 179+0 OK
19/12/2009 01:50:10 192.168.0.2 GET 304 http_://www.eicar.org/calendar.css 178+0 OK
19/12/2009 01:50:10 192.168.0.2 GET 304 http_://www.eicar.org/image/all/1top_eicar.gif 179+0 OK
19/12/2009 01:50:10 192.168.0.2 GET 304 http_://www.eicar.org/image/about_us/hgk_about_us.jpg 179+0 OK
19/12/2009 01:50:10 192.168.0.2 GET 304 http_://www.eicar.org/image/all/2top_eicar_logo.gif 178+0 OK
19/12/2009 01:50:10 192.168.0.2 GET 304 http_://www.eicar.org/image/nav/nav_grey.gif 178+0 OK
19/12/2009 01:50:29 192.168.0.2 GET 200 http://www.eicar.org/download/eicar.com 298+68 VIRUS ClamAV: Eicar-Test-Signature
19/12/2009 01:50:33 192.168.0.2 GET 200 http://www.eicar.org/download/eicarcom2.zip 288+308 VIRUS ClamAV: Eicar-Test-Signature
19/12/2009 01:51:09 192.168.0.2 GET 200 http://www.ziza.ru/ 643+107119 OK
19/12/2009 01:51:09 192.168.0.2 GET 200 http_://www.tns-counter.ru/V13a***R%3E*rbc_ru/r ... rbc_blogs/ 393+43 OK
19/12/2009 01:51:10 192.168.0.2 GET 200 http_://ziza.ru/768x90.html 135+335 OK
............................................
19/12/2009 01:51:14 192.168.0.2 GET 200 http_://ngenix.luxup.ru/images/i/5/303549_963.jpg 283+4191 OK
19/12/2009 01:51:14 192.168.0.2 GET 200 http_://ngenix.luxup.ru/images/i/5/261599_717.jpg 283+3291 OK

При проверке тестового вируса вылезает
HAVP could not open Template! Check errorlog and config! Кто должен быть владельцем шаблонов и какие должны стоять права?

Boomberbun писал(а):При проверке тестового вируса вылезает
HAVP could not open Template! Check errorlog and config! Кто должен быть владельцем шаблонов и какие должны стоять права?

Интересная штука!
Написано цитата:''HAVP
Опять же, о дефолтовых конфигах позаботились за нас,
Правим: /usr/local/etc/havp/havp.config

< REMOVETHISLINE deleteme
> #REMOVETHISLINE deleteme
< # LOG_OKS true
> LOG_OKS false
< # FORWARDED_IP false
> FORWARDED_IP true
< # PORT 8080
> PORT 3127
< # BIND_ADDRESS 127.0.0.1
> BIND_ADDRESS 127.0.0.1
< # TEMPLATEPATH /usr/local/etc/havp/templates/en
> TEMPLATEPATH /usr/local/etc/havp/templates/ru
< # FAILSCANERROR true
> FAILSCANERROR false
< # SCANNERTIMEOUT 10
> SCANNERTIMEOUT 5
< # RANGE false
> RANGE true
< ENABLECLAMLIB false
> ENABLECLAMLIB true
< # CLAMDBDIR /path/to/directory
> CLAMDBDIR /var/db/clamav
< # CLAMMAXFILESIZE 100
> CLAMMAXFILESIZE 25
< # CLAMMAXRECURSION 8
> CLAMMAXRECURSION 3

А ниже
Теперь нужно переместить шаблоны сообщений HAVP (русские, английские или все что есть).
/usr/local/share/examples/havp/ папка templates. Ее нужно положить в /usr/local/etc/havp/
Вот и вылетало у меня сообщение что HAVP could not open Template! Check errorlog and config!
В конфиге исправил согласно последним строчкам(перенести шаблоны) Тот же результат.
Исправил на английский.Всё завелось. Хммм, а где править чтоб был русский шаблон?

Странная проблема, но решить не получается. Первая попытка скачать тестовый вирус не проходит. Хавп ее ловит. Но все последующие хавп игнорирует, хотя, на страницах на которых не было обнаружено вирусов он проверяет все объекты и пишет ок (если в конфиге поставить), а на тех на которых нашел вирусы уже ничего не проверяет.
Перезапускаешь сквид - все повторяется. Первый отлавливается, остальные нет.

Ну и конф хавпа, на всякий случай Может у кого какие пявятся. Я готов сдаваться

Добрый день... А кто подскажит, как сделать, чтоб dns разрешался напрямую через сквид, а не через хавп?

Добрый день!
Подскажите пожалуйста в чем может быть проблема
пытаюсь пересоздать кешь Заранее спасибо.

sc писал(а):Добрый день!
Подскажите пожалуйста в чем может быть проблема
пытаюсь пересоздать кешь

Код: Выделить всё

serv#  uname -a
FreeBSD serv 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Sat Jan 22 07:59:18 MSK 2000     sc@router:/usr/obj/usr/src/sys/Pfrouter  i386
serv# squid -z
squid: Команда не найдена.

Заранее спасибо.

Все исправил оказывается в файле .cshrc неправильно сконфигурирован set patch .

После обновления Havp и Clamv, Havp перестал запускаться. Поиск в интернете ничего не дал. Сначала подумал что порт криво обновился, но после обновления второго сервера... понял что вряд ли... так как на втором такая же проблемка: Эта связочка меня очень устраивает, так что буду благодарен любой помощи. Заранее спасибо.

Сначала подумал что порт криво обновился, но после обновления второго сервера... понял что вряд ли... так как на втором такая же проблемка: Эта связочка меня очень устраивает, так что буду благодарен любой помощи. Заранее спасибо.[/quote]
аналогично, обновился и такая же ошибка

#/usr/local/etc/rc.d/havp start
Starting havp.
Assertion failed: (errorcode == 0), function MutexImpl, file llvm/lib/System/Mutex.cpp, line 76.
Abort trap (core dumped)

Пересоберите Clamav без LLVM либо ставьте gcc-3.4 и собирайте им.