Мы — долго запрягаем, быстро ездим, и сильно тормозим.

FreeBSD
  настройка
  подсчёт трафика
  программы
  frox
  SARG
  samba & ClamAV
  named
  proftpd
  cacti
  SAMBA+AD+NT ACL
  MySQL
  hylafax
  DDNS+DHCP
  cvsupd
  Samba как PDC
  Основы LDAP
  LDAP+SSL
  LDAP auth
  knockd
  rsync
  MRTG
  Rejik
  Jabber - OpenFire
  Samba(PDC) + Ldap
  squid+AD
  ATSlog
  vsftpd
  LDAP: samba, dns, dhcp
  Free-SA
  cups-samba на samba+AD
  irc + services
  Nagios - мониторинг сети
  TeamSpeak
  icecast2
  verlihub (p2p)
  Icecast2 + Darkice
  OOPS
  vsftpd + mysql
  Amanda
  HAVP
  Рыбалка на FreeBSD
  DNS сервер NSD
  DNS сервер Unbound
  mpd5, msmtp, dynamic ip
  ProFTPd + LDAP
  OpenVPN + LDAP
  Samba (PDC+BDC)
  BIND & AD
  POWERDNS
  3proxy
  eGroupWare
  GLPI
  SugarForge CRM
  Bacula
  Mysql - базовое описание
  Asterisk IP PBX
  Samba & CUPS & AD & ACL
  SMSTools 3
  Samba+ NT ACL
  phpmyadmin
  1С:Предприятие 8.1
  PurefFTPd
  qemu network
  AimSniff
  comms/scmxx
  Zoneminder
  Openfire Jabber Server
  Zoneminder 2
  Принт-Сервер Samba+LPD & AD
  Кластер OpenLDAP 2.4
  Lightsquid
  Установка Zabbix-1.6
  Установка net2ftp
  VSFTPD + AD && MySQL
  Network UPS Tools
  mpd5 L2TP client
  Apache 2.2 as a proxy
  ejabberd+mysql+icq
  HotSpot
  Установка и использование Zenoss на FreeBSD 7.2
  mysql-proxy
  DNS zones
  squid+sams+sqstat
  transmission-daemon
  Squid+AD (group access)
  named 9.7.0
  SysAid Server
  MySQL Master+Master
  proftpd file auth&quota
  usb_modeswitch
  NSDadmin
  iperf Тест скорости между хостами
  Простой факс-сервер mgetty+sendfax
  SQUID-MultiCpuSystem
  vsftpd + system users
  Syslog server
  Температура в серверной
  Nagios+Digitemp
  Avast! FreeBSD
  Настройка git+gitosis
  Firefox SyncServer
  Scan+Print server FreeBSD 9
  proftpd,pgsql,web
  почтовые системы
  Шелезяки
  Мелочи
  Файловая система
  WWW
  Security
  system
  Games Servers
  X11
  Programming
Очумелые Ручки
OpenBSD
Cisco


www.lissyara.su —> статьи —> FreeBSD —> программы —> HAVP

Проверка на вирусы HTTP трафика проходящего через Squid@FreeBSD

Автор: KrivoSoft.


Глядя на работающие почти вхолостую машинки раздающие инет возникло естественное желание прикрутить очередную «полезность», например - проверку веб-трафика на вирусы. Темболее сама идея очень нужная и правильная. Несмотря на наличие антивирусов на всех пользовательских компах - для комплексного подхода к антивирусной защите было решено трафик со Squid(все пользователи ходят в инет только через него) отдать на растерзание антивирусу. Этим антивирусом будет ClamAv в силу бесплатности и достаточно частых и оперативных обновлений вирусных баз.

Требования
Одним из главных критериев выбора было наличие всего нужного ПО в портах, т.к. ставить софт руками это себе же сделать хуже. Также хотелось минимально «ламать» существующую конфигурацию ПО. Меньше всего подходили варианты, где предлагалось добавлять чегото в настройки клиентов.

После продолжительного гугляния нарисовалось несколько вариантов: c-icap, всякие редиректоры, и через «иерархии кешей».

Вариант с c-icap отпал сам по себе от дикого количества жалоб типа «не ставится», «не работает», «глючит» в большинстве руководств [2].
Редиректоры сами по себе имеют некоторые недостатки, обойдемся без них. Темболее все что нашел интересное для себя в портах - жаловалось «marked as broken: Doesn't build with clamav-0.93»
А вот третий вариант понравился сходу: HAVP(HTTP AntiVirus proxy) [1] - работает как http прокси, проверяющий файлики используя LibClamav.

Есть разные способы свызывания Squid&Havp, вплоть до [5], я остановился на такой схеме: User->Squid->Havp->WWW. Преимуществом даного метода есть то, что в кеш не попадают вирусы, и файлы которые отдаются пользователям из кеша прокси не сканируются по несколько раз антивирусом.

Теперь касаемо железа: HAVP очень любит RAM, к процессору заметных требований не наблюдалось. Из примеров - на мегабитном канале с месячным трафиком порядка 30гб и 20 пользователями нагрузка на процесор 300Mhz около 10% и порядка 150мб занято ОЗУ. На более нагруженных серверах еще не проверял.

В дальнейшем подразумевается что имеется УЖЕ рабочий настроеный сквид. Рассматривать настройку сквиды нет смысла, об этом не писал только ленивый, и установка простейшей конфигурации на FreeBSD не представляет никаких проблем.

Установка
Обновляем коллекцию портов удобным для Вас способом и после запускаем сборку havp.
# cd /usr/ports/www/havp/
/usr/ports/www/havp# make 

Опции оставляем «как есть»
[X] SSL Enable SSL proxying (not scanned, only forwarded!)
[X] CLAMAV Enable libclamav support 

За собой оно потянуло следующее:
havp-0.88.tar.gz 113 kB
clamav-0.93.tar.gz 15 MB
gmp-4.2.2.tar.gz 2226 kB
arc-5.21o.tgz 80 kB
arj-3.10.22.tar.gz 421 kB
m4-1.4.9.tar.bz2 595 kB
help2man-1.36.4.tar.gz 83 kB
gettext-1.05.tar.gz 7693 B
lha-114i.tar.gz 63 kB
unzoo_4.4.orig.tar.gz 25 kB

После успешной сборки делаем
# make install
# make clean 


Настройка

Clamav
Собственно сам Clamav в виде работающего демона не нужен, нужна только библиотека, поэтому большого смысла в его конфиге помоему нет, но на этапе отладки Clamav приходилось дергать, поетому и чегото менял в конфиге. Резервную копию первоначальных конфигов сделали за нас.
Правим /usr/local/etc/clamd.conf
Часть опций менять нет смысла, но я остановился на следующих параметрах:
< #LogTime yes
> LogTime yes
< LocalSocket /var/run/clamav/clamd
> #LocalSocket /var/run/clamav/clamd
< FixStaleSocket yes
> #FixStaleSocket yes
< ScanMail yes
> ScanMail no
< #MaxScanSize 150M
> MaxScanSize 15M
< #MaxFileSize 30M
> MaxFileSize 8M
< #MaxRecursion 10
> MaxRecursion 3
< #MaxFiles 15000
> MaxFiles 1500

Правим /usr/local/etc/freshclam.conf
< NotifyClamd /usr/local/etc/clamd.conf
> #NotifyClamd /usr/local/etc/clamd.conf

Это чтобы freshclam не ругался на незапущенный clamd: WARNING: Clamd was NOT notified:

HAVP
Опять же, о дефолтовых конфигах позаботились за нас,
Правим: /usr/local/etc/havp/havp.config
< REMOVETHISLINE deleteme
> #REMOVETHISLINE deleteme
< # LOG_OKS true
> LOG_OKS false
< # FORWARDED_IP false
> FORWARDED_IP true
< # PORT 8080
> PORT 3127
< # BIND_ADDRESS 127.0.0.1
> BIND_ADDRESS 127.0.0.1
< # TEMPLATEPATH /usr/local/etc/havp/templates/en
> TEMPLATEPATH /usr/local/etc/havp/templates/ru
< # FAILSCANERROR true
> FAILSCANERROR false
< # SCANNERTIMEOUT 10
> SCANNERTIMEOUT 5
< # RANGE false
> RANGE true
< ENABLECLAMLIB false
> ENABLECLAMLIB true
< # CLAMDBDIR /path/to/directory
> CLAMDBDIR /var/db/clamav
< # CLAMMAXFILESIZE 100
> CLAMMAXFILESIZE 25
< # CLAMMAXRECURSION 8
> CLAMMAXRECURSION 3

Хотел бы отметить опцию LOG_OKS - играясь ею можем логировать как все запросы поступающие на HAVP так и только запросы с заразой. Фича очень полезная на этапе отладки в состоянии «true», после настройки имеет смысл выключить.
По умолчанию HAVP в логах пишет источником всех запросов адрес дочернего прокси (127.0.0.1 в даном случае), опция FORWARDED_IP позволяет отображать в логах HAVP IP-адрес пользователя, который может передавать Squid при включеном «forwarded_for on» (который при обычном раскладе целесообразно отключать). Сам HAVP по умолчанию не передает IP-адрес пользователя дальше на веб сервера, что есть хорошо.

Теперь нужно переместить шаблоны сообщений HAVP (русские, английские или все что есть).
/usr/local/share/examples/havp/ папка templates. Ее нужно положить в /usr/local/etc/havp/

Еще о шаблонах: Дефолтовые шаблоны русских сообщений содержат мелкий недочет - сообщения выводятся в красной рамочке красными буквами.
З.Ы. знакомый отписал что "трабл с цветами пофиксили в портах" - сам еще не проверял. Так что юзайте нижеописаное при необходимости.
Я решил вопрос кардинально - везде где надо было поставил «color: black». Вот что и где менялось:
diff -Bb /usr/local/share/examples/havp/templates/ru/blacklist.html /usr/local/etc/havp/templates/ru/blacklist.html
< td.havp_scheme.msg_area p.warn {color: #FF6600}
> td.havp_scheme.msg_area p.warn {color: black}
diff -Bb /usr/local/share/examples/havp/templates/ru/dns.html /usr/local/etc/havp/templates/ru/dns.html
< td.havp_scheme.msg_area p.warn {color: #FF6600}
> td.havp_scheme.msg_area p.warn {color: black}
diff -Bb /usr/local/share/examples/havp/templates/ru/down.html /usr/local/etc/havp/templates/ru/down.html
< td.havp_scheme.msg_area p.standart {color: #00AE22}
> td.havp_scheme.msg_area p.standart {color: black}
diff -Bb /usr/local/share/examples/havp/templates/ru/error.html /usr/local/etc/havp/templates/ru/error.html
< td.havp_scheme.msg_area p.warn {color: #FF6600}
> td.havp_scheme.msg_area p.warn {color: black}
diff -Bb /usr/local/share/examples/havp/templates/ru/invalid.html /usr/local/etc/havp/templates/ru/invalid.html
< td.havp_scheme.msg_area p.warn {color: #FF6600}
> td.havp_scheme.msg_area p.warn {color: black}
diff -Bb /usr/local/share/examples/havp/templates/ru/request.html /usr/local/etc/havp/templates/ru/request.html
< td.havp_scheme.msg_area p.standart {color: #00AE22}
> td.havp_scheme.msg_area p.standart {color: black}
diff -Bb /usr/local/share/examples/havp/templates/ru/scanner.html /usr/local/etc/havp/templates/ru/scanner.html
< td.havp_scheme.msg_area p.danger {border-width: 1.5mm; margin-right: 20%; margin-left: 20%; width: 60%;
border-style: ridge; border-color: red; color: #D80028}
> td.havp_scheme.msg_area p.danger {border-width: 1.5mm; margin-right: 20%; margin-left: 20%; width: 60%;
border-style: ridge; border-color: red; color: black}
diff -Bb /usr/local/share/examples/havp/templates/ru/virus.html /usr/local/etc/havp/templates/ru/virus.html
< td.havp_scheme.msg_area p.danger {border-width: 1.5mm; margin-right: 20%; margin-left: 20%; width: 60%;
border-style: ridge; border-color: red; color: #D80028}
> td.havp_scheme.msg_area p.danger {border-width: 1.5mm; margin-right: 20%; margin-left: 20%; width: 60%;
border-style: ridge; border-color: red; color: black}

Также надо создать файлы чернобелых списков для havp:
# touch /usr/local/etc/havp/whitelist /usr/local/etc/havp/blacklist


Оформляем автозапуск
/etc/rc.conf
### Antivirus for HTTP
#clamav_clamd_enable="YES"
clamav_freshclam_enable="YES"
havp_enable="YES"


Предварительный запуск
Запускаем обновление антивирусных баз:
# /usr/local/etc/rc.d/clamav-freshclam start
Starting clamav_freshclam. 

Смотрим чего получилось:
# tail -f /var/log/clamav/freshclam.log
freshclam daemon 0.93 (OS: freebsd6.1, ARCH: i386, CPU: i386)
ClamAV update process started at Thu May 8 17:00:01 2008
main.cvd is up to date (version: 46, sigs: 231834, f-level: 26, builder: sven)
WARNING: getfile: daily-6689.cdiff not found on remote server (IP: 62.236.254.228)
WARNING: getpatch: Can't download daily-6689.cdiff from database.clamav.net
WARNING: getfile: daily-6689.cdiff not found on remote server (IP: 217.19.16.188)
WARNING: getpatch: Can't download daily-6689.cdiff from database.clamav.net
WARNING: getfile: daily-6689.cdiff not found on remote server (IP: 213.73.255.243)
WARNING: getpatch: Can't download daily-6689.cdiff from database.clamav.net
WARNING: Incremental update failed, trying to download daily.cvd
Downloading daily.cvd [100%]
daily.cvd updated (version: 7064, sigs: 49400, f-level: 26, builder: ccordes)
Database updated (281234 signatures) from database.clamav.net (IP: 212.1.60.18)
--------------------------------------

Пробуем стартовать havp:
# /usr/local/etc/rc.d/havp start 
Starting havp.
Starting HAVP Version: 0.88
Mandatory locking disabled! KEEPBACK settings not used!

# netstat -an |grep 3127 
tcp4       0      0  127.0.0.1.3127         *.*                    LISTEN

Скорее всего полет нормальный, порт слушается, havp запустился.

в логах:
# tail -f /var/log/havp/error.log
08/05/2008 17:12:51 === Starting HAVP Version: 0.88
08/05/2008 17:12:51 === Mandatory locking disabled! KEEPBACK settings not used!
08/05/2008 17:12:51 Running as user: havp, group: havp
08/05/2008 17:12:51 --- Initializing ClamAV Library Scanner
08/05/2008 17:12:51 ClamAV: Using database directory: /var/db/clamav
08/05/2008 17:12:58 ClamAV: Loaded 277836 signatures (engine 0.93)
08/05/2008 17:12:58 ClamAV Library Scanner passed EICAR virus test (Eicar-Test-Signature)
08/05/2008 17:12:58 --- All scanners initialized
08/05/2008 17:12:58 Process ID: 85924


SQUID
Предполагая что сквид уже настроен и работает - проводим следующий финт - в конфиг /usr/local/etc/squid/squid.conf лепим:
cache_peer 127.0.0.1            parent    3127  0     default no-query
acl FTP proto FTP
always_direct allow FTP
always_direct allow SSL_Ports
#acl no_avir urlpath_regex -i \.avi$ \.jpg$ \.gif$ \.mp3$
#always_direct allow no_avir
#never_direct allow all

Теперь подробнее о содеянном: первой строчкой заворачиваем все потенциально кешируемые запросы которых нет «у себя» на родительский прокси которым выступает HAVP. Преимуществом (или недостатком, кому как) есть то, что в родительский кеш не будут попадать запросы описанные параметром сквида hierarchy_stoplist, а это запросы содержащие {'cgi-bin'|'?'} - т.е. запросы к веб скриптам. Вероятность что скрипты будут возвращать вирусы есть, но при определенных условиях эту вероятность можно игнорировать. Таким образом проверятся будут только файлы на которые можно попасть прямой ссылкой (без «cgi-bin» и »?» в адресе). Позитивным моментом есть тот факт, что когда родительский кеш «упал» - то для пользователей это никак не проявляется, сквид работает как обычно.
Если такое поведение не устраивает - то можно запретить сквиду ходить «напрямую», и все запросы переадресовывать на родительский прокси. Для этого включаем опцию «never_direct allow all».
В одном мз двух запусков этой мегасистемы были замечены проблемы с работой аськи через HTTPS (проблем с другим ПО работающим через сквид по HTTPS вродь не замечалось). Для лечения есть смысл исключить HTTPS трафик от отправки на HAVP, всеравно он HTTPS не раскрывает, а по документации только умеет форвардить через себя напрямую (видать не очень хорошо умеет). Собственно для этого пользуем «always_direct allow SSL_Ports». Еще вылезла "фича" - HAVP сам не умеет ходить на FTP, только умеет пересылать такие запросы на вышестоящий прокси. Строить такую связку нет не смысла не желания, поетому выпускаем FTP в мир прямо со squid'а «always_direct allow FTP».
Кстати, таким же образом можно исключить определенные типы файлов из проверки. Достаточно написать нужный ACL.
В конфиге сквиды есть еще другие опции касающиеся работы иерархии кешей, но я с ними пока не разбирался.

Если сквид сконфигурирован с delay pools - то перезапускаем его, иначе можно просто передернуть:
# squid -k parse
# squid -k reconfigure 

Еще раз о «forwarded_for on» - если хотим видеть на HAVP IP-адреса пользователей а не сквида - то в сквиде нужно включить эту опцию(вроде включена по умолчанию).

Итого
Для проверки заходим на http://www.eicar.org/anti_virus_test_file.htm и пытаемся качать:
http://www.eicar.org/download/eicar.com.txt
http://www.eicar.org/download/eicar_com.zip
http://www.eicar.org/download/eicarcom2.zip
Если все сделали правильно - должны увидеть в браузере красивое уведомление.

И как доказательство в логах /var/log/havp/access.log
08/05/2008 18:18:12 127.0.0.1 GET 200 http://www.eicar.org/download/eicar.com.txt 356+68 VIRUS ClamAV: Eicar-Test-Signature
08/05/2008 18:19:50 127.0.0.1 GET 200 http://www.eicar.org/download/eicarcom2.zip 363+308 VIRUS ClamAV: Eicar-Test-Signature

Недостатки решения
Пока вроде полет нормальный. Единственное что HAVP при запуске ругается на «Mandatory locking», да и в документации на него говорят что это нужно для работы. Хотя и без него вродь нормально.
Из того что не долго разбираясь вычитал - то это уходит корнями в Линуксы, и к Фряхе непонятно каким боком относится. Может когда по свободе разгребу.

Сцылки
1. http://www.server-side.de/index.htm - HAVP Домашняя страница
2. http://www.lissyara.su/?id=1128 - SQUID & ICAP & ClamAV «это почти ни у кого не работает»
3. http://www.markelov.net/articles.php?lng=ru&pg=186 - Проверяем HTTP-трафик на лету (Старое, ориентированное на линукс)
4. http://linuxforum.ru/index.php?showtopic=56867 - Squid + HAVP помогите с настройкой
5. http://havp.hege.li/forum/viewtopic.php?t=179 - Squid Sandwich and SSL/FTP
Другие варианты:
6. Squid+Clamav через squidGuard и viralator



Ссылка на обсуждение: Incorrect URL.

размещено: 2008-05-20,
последнее обновление: 2008-05-21,
автор: KrivoSoft

оценить статью:

sava, 2008-05-20 в 15:27:23

Первый нах!
Кста, в портах траблю с цветом букаф/фона уже пофиксили. Еще можно запускать havp от имени clamav:clamav, убиваем зайца при использовании clamd_socket вместо libclamav. Еще исправь в статье ссылку на havp_krivosoft.tar..
Во всем остальном - работает как огонь :)

BlackPhantom, 2008-05-20 в 18:22:44

Мега-респект! Долго трахался с icap (безуспешно), поэтому статья очень полезна...

psj, 2008-05-20 в 18:30:39

АГРОМАДНОЕ СПАСИБО!!! Всё завелось с полпинка

FreeDy, 2008-05-20 в 21:35:12

Т.к. ссылки на обсуждение в форуме нет, пишу тут. 1) Проверял ли автор реакцию пользователя на скачивания больших файлов? ИМХО Пользователь часто в Виндовсе нажимает скип и повторно пытается закачать файл, если не видит прогресса статус-бара по скачиванию.
2) Как работает банк-клиент и прочие, подобные, софтины если их не добавлять в блэклист?

sava, 2008-05-20 в 21:47:10

c_icap с третьим сквидом кстати (!)почти прекрасно работает, единственное из-за чего отказался - невозможность докачки файлов.

razor, 2008-05-21 в 9:45:50

юзал довольно длительное время пока не уперся в невозможность сабжа и delay_pool"ов. не работают пулы при этом похоже :(

cj_nik, 2008-05-21 в 9:50:35

Да вот по поводу вопроса FreeDy, действительно интересно
Когда пользователь прерывает закачку гигового файлика :)
потом начинает опять, ну и т.д в разных вариациях...
Ну и с Делй Пулами как я понимаю в такой системе проблем нет?

KrivoSoft, 2008-05-21 в 10:36:28

2FreeDy:
1)Большие файлы качаются абсолютно нормально. Присутствует небольшая задержка, но это все настраивается в конфиге хавп. Т.е. можно явно указать какой кусок "большого файла" пытатся сканить. Вот собственно и все. Читаем коментарии к параметрам конфига havp!
2)Вопервых - блеклисты применительно к хавп - это "List of URLs that are denied access". Т.е. если добавить клиентбанки в блеклист - то точно работать не будут :-)
А вот если не трогать ничего - то ситуация следующая:
клиентбанки работающие по HTTPS уйдут со сквида в мир напрямую, и никто ничего не заметит. А те кто работают по HTTP - им то какая разница?

HAVP я уже внедрил на 3х среднемелких конторах - пока никаких жалоб. Юзеры абсолютно ничего не заметили.

2razor
А вот и неправда! С делай пулами полный порядок! Между юзером и сквидом ведь ничего не добавилось. С чего бы перестали делай пулы работать?!

razor, 2008-05-21 в 10:48:13

2 KrivoSoft
это точно? я сколько ни крутил, так и не вышло объединить. и в инете тоже читал жалующихся. ну сейчас может еще разок попробую.

Sash, 2008-05-21 в 10:52:47

не совсем понятно каким макаром конфиги править. вот, например, что значат стрелочки вот тут и других конфигах?

< NotifyClamd /usr/local/etc/clamd.conf
> #NotifyClamd /usr/local/etc/clamd.conf

KrivoSoft, 2008-05-21 в 11:08:37

2razor
С делай пулами 100% порядок. Никаких аномалий.

2Sash
Для тех кто не вкурсе - стрелочки уходят корнями в diff.
И символизируют приблизительно то, какую строчку конфига убрали ("<") и чего вместо нее написали (">"). Мне такое представление кажется удобным, т.к. явно отражает измененные параметры, и избавляет от необходимости приводить огромные конфиги в статье.

З.Ы. Я ссылку на форум дорисовал, вопросы плз туда.

Sash, 2008-05-21 в 11:26:54

пасиб )

kazavochka, 2008-05-22 в 12:33:48

Ничего не поняла, но судя по количеству буквочек все должно быть очень интерестно!

PainKilleR, 2008-05-24 в 20:05:06

Жесть! Всё завелось! Спасибо!

KrivoSoft, 2008-05-29 в 13:51:37

Вот еще что придумал:
кому интересно - вот скрипт, который будет статистику по отловленым вирусам писать в secutity отчет.

(не забываем права! 555, root:wheel)
/usr/local/etc/periodic/security/451.havp
#!/bin/sh -f
# Copyright (c) 2008 KrivoSoft. All lefts reserved.

yesterday=`/bin/date -v-1d "+%d/%m/%Y"`
logfile='/var/log/havp/access.log'

       echo
       echo "`/usr/bin/grep -c ${yesterday} ${logfile}` virus(es) detected by HAVP:"
       echo
       /usr/bin/grep ${yesterday} ${logfile}
#       echo "`/usr/bin/grep -c ${yesterday} ${logfile}` virus(es) total."
exit 0

KrivoSoft, 2008-05-30 в 15:43:15

Еще вылезла "фича" - для того чтоб работало радио через прокси желательно в конфиге havp раскоментировать строчку:
STREAMUSERAGENT Player Winamp iTunes QuickTime Audio RMA/ MAD/ Foobar2000 XMMS

ashgdw, 2008-06-25 в 16:37:12

Дает ошибку часто"HAVP Ошибка при запросе службы доменных имён."
Приходится сайт несколько раз загружать. В чем может быть дело

KrivoSoft, 2008-06-25 в 17:28:54

Скорее всего какие то проблемы с разрешением имен с этой машины. Смотри конфигурацию ДНС.
Как вариант завести bind как кеширующий ДНС (если это еще не сделано), и пусть сам он резолвит имена обращаясь к корневым ДНС итд.
Еще проверь насколько хорошо работают те ДСНы шо указаны в данный момент. Может к ним пакеты медленно лазят, и по таймауту убиваются...
Вроде вот так...

ashgdw, 2008-06-25 в 19:34:53

Блин, ступил, проблема была в squid.

Krivosoft, 2008-08-11 в 14:02:40

Вот наблюдается проблемка с возможным ложным срабатыванием: блочатся ukr.net bigmir.net mail.ru и кучка других сайтов с жалобой на "VIRUS ClamAV: Email.Trojan-8".
Изучил вопрос - косяк вроде кламавовский, для решения в конфиг ХАВП можно влепить
IGNOREVIRUS Email.

FOX, 2008-12-02 в 4:34:22

Супер! Молодец что отписался с пол пенка взлитело, скоро поставлю на свои два объекта там примерно 20 и 50 машин потестирую, серванта конфиг 2 гб озу двуядерный интел с 3 метрами кеши и обслуживает 3 сети, 3 интерфейса смотрят во внутерь, посмотрим там и анти спам с анти вирусом ещё постфикс контролируют! Огромное спасибо за статью!!!

Amadeus, 2009-03-27 в 15:19:22

Автору респект) сейчас делаю так сказать мфу сервер для удаленной сети)данное решение взлетело без проблем и косяков.

gonzo111, 2009-07-02 в 13:34:20

опечатка в /usr/local/etc/clamd.conf вместо MaxFileSize 8M,MaxRecursion 3,MaxFiles 1500
наверно должно быть ArchiveMaxFileSize, ArchiveMaxFiles 1500 ... и тд

paranoidchaos, 2009-09-03 в 11:21:55

Пока вроде полет нормальный. Единственное что HAVP при запуске ругается на «Mandatory locking», да и в документации на него говорят что это нужно для работы. Хотя и без него вродь нормально.

/dev/VolGroup00/LogVol00 / ext3    defaults,mand  1 1


необходимо врубить опцию mand на ту партицую где будут расположенны

SCANTEMPFILE /tmp/havp-XXXXXX


Коломиец Максим, 2009-12-11 в 9:27:00

Как-то слабовато все равно работает связка.
http://www.eicar.org/download/eicar.com
Пропускает. Рары распаковывать не хочет..
Так и должно быть?

KrivoSoft, 2009-12-11 в 9:38:02

Уважаемый, скорее всего вы забылы установить драйвера для рук :-)
Если "связка" пропускает eicar - то Вы явно чето пропустили при настройке (или eicar у Вас уже в сквидовом кеше сидит):-)
С рар-ами у меня точно все нормально, такшо опять же см. п.1

guest777, 2010-02-04 в 17:23:14

большое спасибо за статью, прикрутил к самсу, все работает (пока никто не жаловался), спасибо...

Faster, 2010-03-02 в 13:04:32

Автору респект! все работает, вроде...
не могу только понять как сделать так чтобы хавп понимал аксесс листы сквида и не блокировал то что разрешено сквидои...

inn, 2010-07-07 в 18:19:48

Все работает.
Только вот в логи сквида cache.log
пишется постоянно вот такое,

ZPH: Preserving TOS on miss, TOS=0

Весь лог забит.
Как избавиться?
И что это вообще такое

Alexandr82, 2012-02-29 в 17:26:22

Тупит интернет после установки HAPV. Особенно при попытке скачать файл.

viv, 2012-07-06 в 8:54:30

Спасибо огромное за статью!!! сразу все заработало, прикрутил к связке [url=http://www.lissyara.su/articles/freebsd/traffic_count/squid+sams+rejik/] , мну доволен =)

8.3-RELEASE FreeBSD 8.3-RELEASE #0: Mon Apr  9 21:23:18 UTC 2012     root@mason.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC  amd64


Оставьте свой комментарий:
Ваше имя:   *
e-mail:  
жирный
наклонный
подчёркнутый
ссылка
цвет
Нынешний год:   *
 


Хостинг HOST-FOOD

2014-07-27, lissyara
gmirror

Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9

Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту

Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis

Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS

Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT

В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat

Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp

Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration

Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster

HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS

История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire

Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной

Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server

Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs

Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec

Описание принципов работы IPSEC и способов аутентификации.
2010-12-07, manefesto
FreeBSD on flash

Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
2010-12-05, Fomalhaut
root ZFS, GPT

Инструкция по установке FreeBSD с использованием в качестве таблицы разделов GPT и в качестве основной файловой системы - ZFS
2010-09-05, Cancer
Настройка аудиоплеера на ximp3

Цели: Простенький аудиоплеер, для того что бы тетя продавец в магазине утром пришла нажала на кнопку Power и заиграла в зале музыка, так же был доступ по сети, общая шара куда можно заливать музыку, к
2010-08-31, Cancer
Установка и настройка OpenVPN

На днях появилась задача - объединить головной офис и 3 филиала в одну сеть через интернет посредством OpenVPN, чтобы люди могли подключаться через RDP к базам 1С на серверах.
2010-08-25, manefesto
freebsd lvm

Использование linux_lvm для работы с LVM разделами из-под FreeBSD. Проблемы которые возники при монтирование lvm раздела
2010-04-30, gonzo111
proftpd file auth&quota

Proftpd - квоты и авторизация из файлов, без использования базы данных и/или системных пользователей
2010-04-22, lissyara
tw_cli

Пошаговая инструкция по восстановлению RAID на контроллере 3ware, из которого выпал один диск. Настройка мониторинга состояния рейда и отчётов о его состоянии на email.
2010-04-14, fox
MySQL Master+Master

MySQL (Master Master) and (Master Slave) Как настроить репликацию…
2010-03-22, Mufanu
named 9.7.0

Система доменных имен (Domain Name Service, DNS) - одна из тех незаметных, закулисных программ, которым не уделяется и половины того внимания, которого они заслуживают.
2010-03-09, terminus
DNS zones

Краткий ликбез про управление DNS зонами. Примеры проведения делегирования прямых и обратных DNS зон.
2010-03-09, aspera
Squid+AD (group access)

Настройка прокси сервера SQUID с автроризацией пользователей в AD. Разделение пользователей на группы
2010-03-02, BlackCat
Шлюз: Часть 4

Настройка дополнительных сервисов: синхронизация времени (OpenNTPD), клиент DynDNS.org.
2010-03-01, BlackCat
Шлюз: Часть 3

Настройка DHCP и DNS серверов для работы внутри частной сети, c поддержкой внутренних (частных зон) DNS, а так же интеграция DHCP и DNS сервисов.
2010-03-01, BlackCat
Шлюз: Часть 2

Конфигурация МСЭ pf для проброса портов с изменением порта назначения и без, а так же поддержки активного режима FTP и ограничения максимального размера сегмента
2010-03-01, BlackCat
Шлюз: Часть 1

Быстрая настройка шлюза/маршрутизатора с установлением PPPoE-соединения, поддержкой NAT и DNS-forwarding.
2010-02-23, Morty
darkstat

Простая считалка траффика, со встроенным веб-сервером. Очень маленькая, может делать отчеты трафика по хостам, портам, протоколам, а также строить графики
2010-01-23, gonzo111
squid+sams+sqstat

Пилим squid и sams - примеры конфигов с объяснениями. Установка SqStat.
2009-12-19, schizoid
mpd5 + radius + ng_car + Abills

Настройка pppoe-сервера с биллинговой системой Abills и шейпером ng_car
2009-11-16, lissyara
UFS->ZFS

Удалённая миграция с UFS на ZFS. Загрузка с раздела zfs. Настройка для работы с малым количеством памяти под архитектурой i386.
подписка

    вверх      
Статистика сайта
Сейчас на сайте находится: 12 чел.
За последние 30 мин было: 66 человек
За сегодня было
3075 показов,
507 уникальных IP
 

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK

Время генерации страницы 0.1053 секунд
Из них PHP: 57%; SQL: 43%; Число SQL-запросов: 77 шт.
Исходный размер: 186397; Сжатая: 33184