HTTP Antivirus

djlexx

2 dvserg:
А вся проблема пряталась всего лишь в одной пустой и лишней строчке в файлике havp.inc
нужно то удалить пустые строчки в конце кода и все работает!

dvserg

@djlexx:

2 dvserg:
А вся проблема пряталась всего лишь в одной пустой и лишней строчке в файлике havp.inc
нужно то удалить пустые строчки в конце кода и все работает!

Скорее всего прикопировании затесался непечатный символ.

dvserg

Тест обновления GUI
Скачать тут
http://diskatel.narod.ru/pfSense/packages/havp/havp.zip

Также следующая версия со сканером файлов
http://diskatel.narod.ru/pfSense/packages/havp/havpnew.zip

dvserg

Попробовал на перейти CLAMD вмест ClamLIB - прикольно.. После запуска демона антивируса HAVP стал кушать памяти раз в 10 меньше и стартовать за 2 секунды.
Теперь при желании сюда можно и другие проверялки трафика подключить.

volag

@dvserg:

Попробовал на перейти CLAMD вмест ClamLIB - прикольно.. После запуска демона антивируса HAVP стал кушать памяти раз в 10 меньше и стартовать за 2 секунды.

havp наверное и стал меньше весить, но ведь по идее добавился еще процесс демона clamd, а он не маленький. у меня на фре лопает порядка 100Мб(на машине с 512 оперативки). он у меня там вместе с самбой "оттягивается".

dvserg

С либом каждый хавп кушает 75 555 А так один демон 75 555 + хавпы по 5300 - ляпота
У меня на п3/256 запущено - 18 процессов хавпа и один демон клама 43метра памяти свободно

kr1sed

День добрый, такая проблема - никак не хочет работать связка squid-havp-internet, вернее все работает, но тестовые вирусы закачиваютсся и clamav их не "блочит". Если отключить parent for squid в havp, и забить в браузере прокси-порт havp, то все нормально, вирус блокируется, как только пускаю через squid и в качестве parent - havp, вирус нормально качается, самое удивительное, что в кеше он похоже не оседает, проверка кеша squid показывает 0 вирусов. Кеш браузера, тоже чистил. Опыт по наладке всего этого дела у меня имеется(на домашнем серваке freebsd 7.1 все прекрасно работает) на pfsense 1.2.2, же ни в какую. Пробывал запускать squid как в режиме transparent так и в standart.

# Do not edit manually !
http_port 192.168.1.1:3128
http_port 127.0.0.1:80 transparent
icp_port 0

pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/local/etc/squid/errors/Russian-1251
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr admin@localhost
access_log /var/squid/log/access.log
cache_log /var/squid/log/cache.log
cache_store_log none
shutdown_lifetime 3 seconds
# Allow local network(s) on interface(s)
acl localnet src  192.168.1.0/255.255.255.0
uri_whitespace strip

cache_dir ufs /var/squid/cache 100 16 256
cache_mem 8 MB
maximum_object_size 1000 KB
minimum_object_size 0 KB
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
offline_mode off
dns_children 32
cache_swap_low 90
cache_swap_high 95

# No redirector configured

# Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
acl sslports port 443 563 
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin \?
cache deny dynamic
http_access allow manager localhost

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

# Always allow localhost connections
http_access allow localhost

request_body_max_size 0 KB
reply_body_max_size 0 allow all
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow all

# Allow local network(s) on interface(s)
http_access allow localnet
# Custom options
cache_peer 127.0.0.1 parent 8080 0 name=havp proxy-only no-query no-digest no-netdb-exchange default

# Default block all to be sure
http_access deny all

# ============================================================
# HAVP config file
# This file generated automaticly with HAVP configurator (part of pfSense)
# (C)2008 Serg Dvoriancev
# email: dv_serg@mail.ru
# ============================================================

USER           havp
GROUP          havp
DAEMON         true
PIDFILE        /var/run/havp.pid

# For small home use, 8 should be minimum.
# For 500 users corporate use, start at 40.
SERVERNUMBER   10
MAXSERVERS     100

# log 
ACCESSLOG      /var/log/havp/access.log
ERRORLOG       /var/log/havp/havp.log

# syslog
USESYSLOG      false
SYSLOGNAME     havp
SYSLOGFACILITY daemon
SYSLOGLEVEL    info

# Level of HAVP logging
#  0 = Only serious errors and information
#  1 = Less interesting information is included
LOG_OKS        false
LOGLEVEL       0

# temp 
SCANTEMPFILE   /var/tmp/havp/havp-XXXXXX
TEMPDIR        /var/tmp

#
DBRELOAD       180
TRANSPARENT    false

# if HAVP is used as parent proxy by some other proxy, this allows to write the real users IP to log, instead of proxy IP.
FORWARDED_IP    false
X_FORWARDED_FOR false

# havp is listening on 
PORT           8080
BIND_ADDRESS   127.0.0.1

# Path to template files 
TEMPLATEPATH   /usr/local/share/examples/havp/templates/ru

# whitelist and blacklist
WHITELISTFIRST true
WHITELIST      /usr/local/etc/havp/whitelist
BLACKLIST      /usr/local/etc/havp/blacklist

# block file if error scanning
FAILSCANERROR  false

# scanner 
SCANNERTIMEOUT 10
RANGE          true

# stream
STREAMUSERAGENT Player Winamp iTunes QuickTime Audio RMA/ MAD/ Foobar2000 XMMS
STREAMSCANSIZE 20000
SCANIMAGES     true
MAXSCANSIZE    5120000
KEEPBACKBUFFER 200000
KEEPBACKTIME   5
# After Trickling Time (seconds), some bytes are sent to browser to keep the connection alive
TRICKLING      5
# Downloads larger than MAXDOWNLOADSIZE will be blocked.
MAXDOWNLOADSIZE 0

# ClamAV Library Scanner (libclamav) 
ENABLECLAMLIB        false

# Clamd scanner (Clam daemon)
ENABLECLAMD          true
CLAMDSERVER          127.0.0.1
CLAMDPORT            3310

dvserg

А если сделать так ?

# Custom options
never_direct allow all
cache_peer 127.0.0.1 parent 8080 0 name=havp no-query no-digest no-netdb-exchange default

Это чтобы squid не ходил мимо havp. Так-же убрал proxy-only, а то с ним оказывается в кэш ничего не пишется при получении данных с HAVP (а это нехорошо).

kr1sed

Благодарю за помощь,изменил конфиг, но из
eicar.com
eicar.com.txt
eicar_com.zip
eicarcom2.zip

Заблокированы были только
eicar.com.txt
eicar_com.zip
eicarcom2.zip

Тестовый вирус eicar.com благополучно прошел "заслон", попрежнему не "осев" в кэше.

dvserg

Странно.. сегодня только проверяли - все 4 поймало. Без сквида тоже не ловит? Иначе все-таки кэш…

kr1sed

Без "сквида", как я писал выше, ловит все тестовые вирусы. Может выложить рабоче конфиги от фряхи? Правда там squid 3, а тут 2.6.