Havp between Squid

Der GockelNeulich hatte ich ja schon einen fruchtlosen Versuch unternommen, meinen Squid mit dem ClamAV zu leieren. Die dort vorgestellte Variante nervt leider den Anwender mit weiterer Klickerei. Auch die ganzen automatischen Software-Updates funktionierten mit der ICAP-Lösung nicht mehr. – Firefox und Co. haben scheinbar keinen Zeigefinger, um mit der Mouse auf den Download-Button zu klicken ;-)
Also habe ich jetzt mal noch einen zweiten Durchgang versucht, dieses mal mit HAVP.
Ich fand auch eine ganz gute Anleitung ‚Havp between Squid‚, die auch auf Anhieb funktioniert hat und auch super performant läuft:

~# apt-get install havp
....
~# lsof -i :8080
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
havp 24098 havp 4u IPv4 990545171 TCP *:webcache (LISTEN)
havp 24107 havp 4u IPv4 990545171 TCP *:webcache (LISTEN)
havp 24109 havp 4u IPv4 990545171 TCP *:webcache (LISTEN)
havp 24111 havp 4u IPv4 990545171 TCP *:webcache (LISTEN)
havp 24117 havp 4u IPv4 990545171 TCP *:webcache (LISTEN)
havp 24119 havp 4u IPv4 990545171 TCP *:webcache (LISTEN)
havp 24121 havp 4u IPv4 990545171 TCP *:webcache (LISTEN)
havp 24123 havp 4u IPv4 990545171 TCP *:webcache (LISTEN)
havp 24126 havp 4u IPv4 990545171 TCP *:webcache (LISTEN)
~# vi /etc/havp/havp.config

...
# You must remove this line for HAVP to start.
# This makes sure you have (hopefully) reviewed the configuration. :)
# Hint: You must enable some scanner! Find them in the end..
# REMOVETHISLINE deleteme
# PARENTPROXY localhost
# PARENTPORT 3128
PARENTPROXY localhost
PARENTPORT 3128

...
# Default:
# X_FORWARDED_FOR false
X_FORWARDED_FOR true
....
# ENABLESOPHIE false
# Default:
# SOPHIESOCKET /var/run/sophie


vi /etc/squid3/squid.conf

...
# Sandwich config for HAVP
icp_port 0
# scanning through HAVP
cache_peer localhost parent 8080 0 no-query no-digest no-netdb-exchange default

....
#Default:
# cache_mem 8 MB
# Memory usage values
cache_mem 64 MB

....
#Default:
# maximum_object_size 4096 KB
maximum_object_size 65536 KB
....
#Default:
# memory_pools on
memory_pools off
....
#Default:
# cache_dir ufs /var/spool/squid 100 16 256
# 4 GB store on disk
cache_dir aufs /var/spool/squid 4096 16 256

....
#Default:
#cache_store_log /var/log/squid/proxy01.store.log
# no store log
cache_store_log none

....
#Default:
# ftp_passive on
ftp_passive off
....
#Default:
# forwarded_for on
# no X-Forwarded-For header
forwarded_for off

....
#Default:
# buffered_logs off
# Speed up logging
buffered_logs on

....
#Default:
# strip_query_terms on
# no logfile entry stripping
strip_query_terms off

....
#Default:
# pipeline_prefetch off
# Speed, speed, speed
pipeline_prefetch on

#Default:
# half_closed_clients on
half_closed_clients off
#Default:
# shutdown_lifetime 30 seconds
shutdown_lifetime 1 second
....
#We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?
....
#Suggested default:
##refresh_pattern ^ftp: 1440 20% 10080
##refresh_pattern ^gopher: 1440 0% 1440
##refresh_pattern . 0 20% 4320
# And now: define caching parameters
refresh_pattern ^ftp: 20160 50% 43200
refresh_pattern -i \.(jpe?g|gif|png|ico)$ 43200 100% 43200
refresh_pattern -i \.(zip|rar|arj|cab|exe)$ 43200 100% 43200
refresh_pattern windowsupdate.com/.*\.(cab|exe)$ 43200 100% 43200
refresh_pattern download.microsoft.com/.*\.(cab|exe)$ 43200 100% 43200
refresh_pattern -i \.(cgi|asp|php|fcgi)$ 0 20% 60
refresh_pattern . 20160 50% 43200

....
acl HTTP proto HTTP
acl localhost src 127.0.0.0/8
# Do not scan the following domains
acl noscan urlpath_regex -i \.(jpe?g|gif|png|ico)$
# XXX acl noscan dstdomain proxy.domain.com
# We do not want traffic to these sites:
# XXX acl evil dstdomain www.veryevildomain.dom

....
# TAG: via on|off
# If set (default), Squid will include a Via header in requests and
# replies as required by RFC2616.
#
#Default:
# via on
## header_access Via deny all
# 'header_access Via ..' gibt es nicht mehr!!
via off
# Ergibt aber eine Warnung: WARNING: HTTP requires the use of Via
....
#We recommend you to use the following two lines.
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# Do not cache requests from localhost, SSL-encrypted or dynamic content.
acl localhost src 127.0.0.1/32
no_cache deny localhost
no_cache deny CONNECT
no_cache allow all

....
#Default:
# none
# Do not forward parent requests from localhost (loop-prevention) or
# to "noscan"-domains or SSL-encrypted requests to parent.
always_direct allow localhost
always_direct allow CONNECT
always_direct allow noscan
always_direct deny HTTP

....
#Default:
# none
never_direct deny localhost
never_direct deny CONNECT
never_direct deny noscan
never_direct allow HTTP

....

~# /etc/init.d/havp restart
Restarting havp: Starting HAVP Version: 0.86
havp.
~#
/etc/init.d/squid3 restart
Restarting Squid HTTP Proxy 3.0: squid3 Waiting......done.
2008/01/09 18:25:57| WARNING: HTTP requires the use of Via
.
~#

Der Test-Download eines Eicar-Test Virus brachte auch gleich eine saubere Fehlermeldung:
HAVP sagt 'Hallo!'
Anmerkung:
Den neuen Parameter ‚via off‚ zu nutzen, scheint aber auch keine schlechte Idee zu sein. Ohne ihn klappt zwar (scheinbar) auch alles, aber des /var/log/messages ist voller Zeilen wie dieser:
...
Jan 09 18:31:18 proxy squid[17279]: WARNING: Forwarding loop detected for: GET /squid-users@squid-cache.org/msg
...

Gelesen: 28212 · heute: 4 · zuletzt: Thu 22.August 2019

36 Responses to “Havp between Squid

  • Hello! Found your blog on yahoo – thanks for the article but i still don\’t get it, Robert

  • Hallo Herr R.,
    Ich habe mal ihre eMail als Kommentar an den Artikel an gehangen, vielleicht habe andere ja auch das Problem


    > Ihren Artikel über die Lösung mit „havp between squid“
    > gelesen. Hierzu jedoch ein paar Fragen:
    >
    > 1. Welche Reihenfolge der Installation macht
    > Sinn? (Squid, havp, clamav)
    Die Installation kann man ja bequem in einem Rutsch machen. Das Starten sollte aber schon so erfolgen, dass der ClamAV vor dem HAVP und der dann wiederum zeitnah vor dem Squid da ist.

    > Wobei ich denke, dass havp den clamav mitbringt.
    Mitbringt ist falsch, aber es werden wohl Abhängigkeiten existieren, so dass der ClamAV automatisch mit installiert werden könnte.

    > 2. Sie haben in Ihrer Anleitung geschrieben
    > „apt-get install havp„. Jedoch gibt es in
    > meiner Repository nicht. Haben Sie die sources.list
    > angepasst, wenn ja, mit welchen Erweiterungen.
    Bei meinem Lenny wird es vernünftig aus dem ‚main‘-Repository geholt:
    http://debian.uni-essen.de lenny/main havp 0.87-1.1 [163kB]
    Bei den Etch-Rechnern ist es noch aktuell, aber in der ‚/etc/apt/sources.list‚ steht folgendes:

    deb http://debian.uni-essen.de/debian etch main
    deb-src http://debian.uni-essen.de/debian etch main
    deb http://ftp2.de.debian.org/debian etch contrib
    deb http://ftp2.de.debian.org/debian etch main
    deb http://ftp2.de.debian.org/debian etch non-free

    deb http://security.debian.org/ etch/updates main

    > 3. Habe ich Ihre Konfiguration richtig verstanden, dass
    > der Squid die User-requests mit dem Port 8080 entgegen
    > nimmt und dem HAVP über Port 3128 weitergibt?
    Nein, das ist aber vielleicht nur falsch formuliert.
    Der Squid lauscht (in meiner Konfiguration) am Port 3128. In den Clients muss also bei den Proxyeinstellungen etwas von Port 3128 stehen. Am Port 8080 lauscht der HAVP:

    # lsof -n -i -P | grep LISTEN

    havp 1.. havp 4u IPv4 111… TCP *:8080 (LISTEN)

    squid3 7.. proxy 15u IPv4 106… TCP *:3128 (LISTEN)

    Die Ports sind aber (fast) beliebig verwendbar. In der Firma haben wir auch einen Squid der immer schon sowohl an Port 3128 als auch an Port 8080 lauschte, dort haben wir dann den HAVP an einen anderen Port (z.B 8180) gebunden.

    > Über eine Antwort wäre ich sehr dankbar, da ich
    > zwingend für unser Unternehmen einen Squid-Proxy
    > aufsetzten möchte/muss welche den Internet-traffic
    > auf Viren überprüft.
    Gern doch.

  • hi

    how do you enable the virenscanner in the havp.config?
    i want to enable calmd, but it doesnt work

  • ich habe in der Datei ‚/etc/havp/havp.config‚ die libclamav aktiviert.

    ….
    #####
    ##### ClamAV Library Scanner (libclamav)
    #####

    ENABLECLAMLIB true
    ….

    Dadurch ist die lib dann im Speicher und sollte schneller sein, als das ansprechen eines Socket. Wenn Du den clamd aber unbedingt nutzen möchtest, müssen auf jedenfall die Leserechte auf den clamd-Socket passen (siehe Parameter ‚LocalSocket‘ in der Datei ‚/etc/clamav/clamd.conf‚) und natürlich muss der havp auch wissen, wo der Socket liegt (‚/etc/havp/havp.config‚):

    ….
    CLAMDSOCKET /var/run/clamav/clamd.ctl
    ….

  • Nur am Rande und als Nachtrag: Wir nutzen im HAVP zusätzlich auch noch den Sophos-Scanner.
    Dazu erst den Unix-Sophos wie gehabt installieren und dann den Sopwyyhhiewyyhwyyh-Daemon hinterher. (siehe http://www.clanfield.info/sophie/ )

    apt-get install build-essential
    tar xjpf sophie-3.0xxx.tar.bz2
    cd sophie-3.0xxx/
    ./configure –prefix=/usr/local
    make
    cd /usr/local/lib/
    ln -s libsavi.so.3 libsavi.so
    vi /etc/sophie.cfg

    ….
    # Configuration file with SAVI options
    #
    # Change requires: RELOAD
    saviconfig: /etc/sophie.savi
    ….
    # Location of socket file
    #
    # Change requires: RESTART
    socketfile: /var/run/sophie
    ….

    Die Dateien die das make in ‚/usr/local/etc/‚ abgelegt hat, müssen natürlich verschoben werden. Alternativ kann man sicher auch mit dem configure-Schalter ‚–sysconfdir=DIR‚ spielen. Bei uns fehlte nach dem make noch der Startscript ‚/etc/init.d/sophie‚. Der liegt unter ‚./sophie-3.0xxx/contrib/sophie.init‚, von dort kann man ihn dann selber wegkopieren und dann auch die Start-Links erzeugen:
    (‚update-rc.d sophie start 30 2 3 4 5 . stop 70 0 1 6 .‚).

    Danach sollte sophie starten.:
    /etc/init.d/sophie start

    Dann sophie in der Datei ‚/etc/havp/havp.config‚ aktivieren:

    ….
    #####
    ##### Sophos Scanner (Sopwyyhhiewyyhwyyh)
    #####

    ENABLESOPHIE true

    # Path to sophie socket
    #
    # Default:
    # SOPHIESOCKET /var/run/sophie
    ….

  • hi

    danke für deine Antwort. Ich möchte jetzt doch auch den clamav nutzen. Standardmäßig ist er ja in der havp.config enabled, aber bei mir kommt keine fehlermeldung wenn ich die Viren von Eicar aufrufe.
    Muss ich den Clamav über init.d noch starten? oder wo könnte hier der Fehler liegen?

  • Hi Tobmlyyiasmlyymlyy,
    wenn Du ‚clamd‚ nutzen möchtest, sollte er laufen. (‚/etc/init.d/clamav-daemon start‚)
    Bei der Konfiguration die ich nutze, braucht der Daemon nicht gestartet sein. Da wird ja die Lib himself geladen.

    Der ‚freshclam‚ sollte natürlich immer laufen (‚/etc/init.d/clamav-freshclam start‚)!
    Gruß Uwe

  • hi Uwe,

    ich verzweifel bald.
    Ich habe Squid3 installiert. läuft auch super
    dann hab ich havp installiert und clamav. (beides über apt-get install …) Ich nutze Ubuntu.
    Jetzt hab ich die squid.config angepasst und den cache_peer gesetzt wie du oben schreibst.
    dann hab ich in der havp.config
    PARENTPROXY localhost
    PARENTPORT 3128

    der libclamav ist bei mir schon enabled:
    ENABLECLAMLIB true

    hab noch das gesetzt:
    CLAMDBDIR /var/lib/clamav

    ich hab squid/havp über init.d restartet. Dabei kommt keine Fehlermeldung.
    Aber wenn ich mit dem Firefox (in dem ich den port 3128, testweise auch den vom havp 8080 eingetragen habe) die Viren von EiCAR aufmache, meldet sich der HAVP nicht.

    Kurioserweise hat es gestern nacht funktioniert. Habe danach Dansguardian noch installiert und damit rumgespielt. Was aber keinen Erfolg brachte. Heute hab ich dansguardian deinstalliert und auch HAVP und CLamav nochmal neu installiert, aber es klappt einfach nicht mehr :(

  • Ist denn bei Ubuntu der HAVP geben die lib des Clamav verlinkt? In der debian-Stable ist das standardmäßig wohl nicht der Fall. (ich nutze testing)

    Gib doch mal ‚sudo ldd /usr/sbin/havp‚ ein. Kommt dann eine Zeile mit ‚ libclamav.so.3 => /usr/lib/libclamav.so.3‚ oder ähnlichem zum Vorschein. Wenn nicht musst Du den HAVP wohl doch gegen den Socket vom clamd binden.

  • wenn ich das oben eingeben, dann kommen einige Zeilen Ausgabe:
    Ein Auszug davon:

    libclamav.so.2 -> /usr/lib/libclamav.so.2

    das komische ist, dass es gestern ja funktioniert hat.
    Auch wenn ich im firefox localhost 8080, also direkt den HAVP benutze funktioniert es nicht.

  • hallo,

    ich habe das ganze nochmal auf einer anderen Maschine getestet. Ist aber die gleiche VMware

    Dort funktioniert es eiwandfrei. sehr seltsam. ich dachte erst dass der squid vll die daten gecached hat und daher der clamav nicht mehr scannen musste, aber ich hab es gerade auch ohne Squid nur mit dem havp versucht, es passiert einfach nix. oder merkt er sich files die er schon erlaubt hat?

    Noch eine Frage:
    Auf der Eicar seite sind auch ssl verschlüsselte Viren, die werden nicht erkannt.
    Habe in der Havp.config eingestellt dass encrypted archives auch geblockt werden sollen, dies hilft aber nicht.
    Was kann man dagegen machen?

  • hi,

    oh man jetzt hab ich das Problem gefunden. der firefox hatte die dateien gecached :)

  • Komme gerade vom Fitness.
    Schön, wenn es jetzt bei Dir klappt. Dieses komische Caching von Firefox nervt mich regelmäßig. Gerade wenn man am Webdesign von Webseiten bastelt, weis man immer nicht, ob man jetzt einen Fehler gemacht hat oder nur mal wieder Firefox keinen Bock hat, die Seite neu zuholen.

  • hallo,

    ja da hast du recht. Hast du eine Antwort wegen den verschlüsselten Viren?

    offTopic:
    Wie kann man aus Squid einen SSL Proxy machen. Also dass SSL verschlüsselte Seiten nicht durchgetunnelt werden?

    Kann Squid/Dansguardian/Privoxy aktive Inhalte wie Javascript/ActiveX/Java applets filtern? Welches wäre da am besten geeignet?

    grüsse

  • Zum 1. Punkt.
    Die Viren die mittels https getunnelt werden sind wirklich ein zunehmendes Problem. Bisher haben wir dafür noch nichts praktikables gefunden. Gehen muss es aber.
    Zumal der Begriff tunneln hier eher falsch ist, denn die https-Pakete bräuchten ja nur vorläufig zurückgehalten, entschlüsselt und geprüft werden. Die originalen noch verschlüsselten Pakete könnten dann weitergereicht werden, wenn die Prüfung nicht fehlschlägt.

    Zum 2. Punkt.
    Die Zeile ‚always_direct allow CONNECT‚ in der squid.conf sorgt dafür, dass unter anderem ’normale‘ https-Verbindungen nicht durch den HAVP geschleust werden.

    Oops ganz übersehen – zum 3. Punkt.: Javascript/ActiveX
    Ein paar Programme gibt es da wohl – Stichwort privoxy oder squid-filter.
    Aber tue Dir das besser nicht an. Besser ist dann doch das gute Firefox-Plugin NoScript zu nutzen. Dann delegierst Du die Arbeit zu den Usern, jeder kann sich seine Konfig selber einrichten und verhauen – und das auch noch auf komfortable Art.
    Du kannst es in einer zentralen Konfiguration zum einen doch niemanden recht machen und hast trotzdem sehr sehr viel Arbeit.
    Ach ja, virulenten Code erkennt HAVP auch! Ich kann allerdings nicht sagen wie sicher.

  • diese encrypted Viren wären mir total wichtig zu detecten..
    naja kann man erstmal nichts machen

    zu dem always_direct allow CONNECT: ich meinte ob eine Möglichkeit besteht, dass der Squid oder havp die SSL Verbindung auftrennt um dann den Content im Klartext vorliegen hat und diesen zu scannen und zu filtern.

    ps: wegen den aktiven Inhalten hast du keinen Tipp?
    Habe das hier gefunden: http://sites.inka.de/bigred/devel/squid-filter.html
    aber so ganz überzeugend ist das auch nicht.

  • Hallo,

    habe früher mit SQUID2 gearbeitet und habe immer in der Konfiguration „http_port 3128“ gehabt.. Nach dem Update auf Squid3 muss wohl diese Zeile „http_port 3128 transparent“ lauten, wenn mann eben den Squid als den transparenten Proxy einsetzt.

    Vielen Dank für diese gute Anleitung. Kann mir jemand sagen wie sich ClamAV/HAVP/SQUID mit Würmern und AdWares verhält ?

    Wie hängt man noch einen Dansguardian dazu um eben bestimmte Seiten sperren zu können? Würde mich über eine kurze Anleitung bzw. einen Denkanstoss geben wie man eben diese verkettet. Danke !

    mfG
    E:S

  • Hi!

    Erst einmal vielen Dank für das tolle HowTo!
    Ich habe aber noch ein Problem mit Sophos/Sophnyehiehnyehnye.

    Sophos 6 ist installiert und läuft, Sophnyehiehnyehnye 3.05 habe ich compiliert.

    Wenn ich jetzt Sophnyehiehnyehnye starten möchte, bekomme ich die Ausgabe:
    NOTICE : Sophnyehiehnyehnye configuration file not specified – falling back to defaults
    NOTICE : Using Sophnyehiehnyehnye configuration file ‚/etc/sophie.cfg‘
    NOTICE : Setting configuration options – please wait…
    NOTICE : Configuration options set
    WARNING : Failed to obtain version information for engine/IDE

    Die Sophos Libs sind eigentlich erreichbar und wurden auch beim ./configure von Sophnyehiehnyehnye erkannt.

    Hast Du das Problem auch schon gehabt, oder hast Du eine Idee, wie ich es lösen kann?

    Vielen Dank

    Gruß
    Phil

  • Ich nutze ein SSL-VPN welches über den Squid ins Netz geht.

    Daher kommen alle anfragen von localhost.
    Sobald ich nun havp anschalte, entsteht ein endless Loop :/

    Ich habe mich zu Tode gesucht und nichts gefunden wie ich dies unterbinden kann. Wäre um jeden Rat dankbar.

  • Hi Stesiydfansiydsiyd,
    in der /etc/havp/havp.conf gibt es einen Schalter. um dem havp an einer anderen IP zu binden:

    ...
    # IP address that HAVP listens on.
    # Let it be undefined to bind all addresses.
    #
    # Default: NONE
    # BIND_ADDRESS 127.0.0.1
    BIND_ADDRESS 10.0.0.7
    ...

    Wenn Du dir vorher eine andere IP-Adresse zauberst, zum Beispiel in der /etc/networks/interfaces (debian-System), kann der havp sich womöglich daran binden?! – Will sagen könntest Du ja mal testen und dann Bescheid sagen:

    ...
    auto eth0:2
    iface eth0:2 inet static
            address         10.0.0.7
            netmask         255.255.255.0
            network         10.0.0.0
            broadcast       10.0.0.255
    ...

    Alternativ könnte man sich auch ein tun-Device anschalten:

    ...
    adduser havp tungrp
    chmod 0660 /dev/net/tun
    chgrp tungrp /dev/net/tun
    /usr/sbin/tunctl -t tap1 -u havp
    ip link set tap1 up
    ip addr add dev tap1 10.0.0.7/32
    ...
    

    Aber ich habe nichts davon getestet…

  • Cool, ich habe eine 2te IP Adresse am Server, daher funzt dies einwandfrei!
    Nur die Performance leidet extrem darunter…

    Hast du da auch noch ein Tipp?

  • Welche der Varianten benutzt Du?

    Zur Performance, hast Du einen Parameter ‚ident_lookup_access‚ in der squid.conf gesetzt. Womöglich läuft dadurch erst ein Timeout zum nicht erreichbaren ident-Server des Clients auf..

  • just a note: if you use havp+clamd, make sure you use the socket scanner, older versions shipped with debian lenny cant handle new clamavlib! havp has to be in the clamav group to read the socket. (in debian lenny). i would suggest to always uninstall outdated distro versions and compile it on your own.

  • Servus Uwe,
    damit ich das richtig verstehe.
    Wir haben: 1x Squid und 1x havp

    Der Client bekommt den Port 8080 in die Browserkonfiguration (für http und https!):

    Der Squid sitzt auf dem Port 8080. Alle HTTP Anfragen die vom Internet kommen:

    http://www.google.de -> Squid ->HAVP ->Squid ->Client

    Alle https:
    https:/xyz ->Squid ->Client?
    Ist das korrekt so? Wir haben also nur einen Squid im Einsatz der alle http anfragen durch den HAVP schickt.

    Bildet das deine Konfiguration oben ab?
    merci & ciao
    Andmgysreamgyssmgysmgys

  • @Andhqyureahqyushqyuhqyu:
    Ja genauso ist es. Denn https-Strom kann man nicht so einfach ‚öffnen‘.
    Der ssl-Scanner bei der ‚Konkurrenz‘ von McAfee/Webwasher entschlüsselt alle Anfragen und nach dem überprüfen muss er dann mit der eignen CA ein neues Zertifikat erstellen und damit den Traffic wieder verschlüsseln. Zum einen ist diese Technik nicht gerade trivial und die feine englische Art ist es auch nicht gerade, in alles hinein zu sehen…
    Aber ein nicht zu unterschätzendes Viren-Einfallstor tut sich da natürlich (mit ‚meiner‘ Variante) schon auf!

  • Hi Uwe,
    besten Dank, dann werde ich das mal so nachbauen.
    Das mit dem https ist schon ein Argument. Aber wenn man noch nix hat ist der havp ein guter Anfang :-)
    merci

  • Hi Uwe,
    nun sieht das ganze schon recht gut aus bei mir. Ich habe einen Squid 3 im Einsatz und den HAVP. Leider lässt er noch immer keine https Verbindungen durch.
    Soll ich meine Config Posten oder was würde helfen?
    ciao
    Andxryhreaxryhsxryhxryh

  • Dafür sind eigentlich die ‚CONNECT‘-Einträge zuständig. Hast Du die so wie bei mir oben? Sie müssen den HTTP-Regeln ‚widersprechen‘. ;-)
    Ich habe in meine squid.conf folgende ‚CONNECT‘- und ‚HTTP‘-Zeilen:

    ...
    acl HTTP            proto HTTP
    acl CONNECT         method CONNECT
    ...
    http_access deny CONNECT !SSL_ports
    ...
    always_direct allow CONNECT
    always_direct deny HTTP
    ...
    never_direct deny CONNECT
    never_direct allow HTTP
    ...

    Du kannst mir aber auch gern Dein conf-Datei senden.

  • Hi Uwe,
    ja genau so habe ich auch alles stehen. Aber ich glaube ich habe noch einen Config Fehler. Mein Squid sitzt auf dem 3128 und mein HAVP auf dem 8080. Der Client bekommt 8080 – das kann doch gar nicht klappen oder?
    Mein Squid müsste doch auf dem 8080 sitzen und der HAVP auf dem 3128 oder?

    merci & ciao
    Andwdyxreawdyxswdyxwdyx

  • Das ist dann Dein Fehler, Deine Clients müssen den Port 3128 ansprechen!! – und damit erst mal den Squid.
    Ich habe inzwischen in der /etc/havp/havp.config den folgenden Parameter aktiviert:

    ...
    BIND_ADDRESS 127.0.0.1
    ...

    Dann kann der HAVP nur noch vom lokalen Host erreicht werden.
    Dadurch ändert sich auch die lsof-Ausgabe:

    # lsof -Pni | grep "havp\|squid" | grep LISTEN
    squid3     6164      proxy   11u  IPv4 23476288       TCP *:3128 (LISTEN)
    havp      24120       havp    3u  IPv4 30397821       TCP 127.0.0.1:8080 (LISTEN)
    havp      24121       havp    3u  IPv4 30397821       TCP 127.0.0.1:8080 (LISTEN)
    havp      24123       havp    3u  IPv4 30397821       TCP 127.0.0.1:8080 (LISTEN)
    ...
  • Hi Uwe,
    ich bekomme leider nur seg faults von havp, nachdem ich alles auf einem frischen Debian Lenny 5.0.4 (i386) installiert habe. :-( Das System verfügt über den aktuellsten Paketstand und das aktuellste squid3-Paket. Drin stecken 2 GB RAM und ein P4-Prozessor.
    Beim Hochfahren des Systems gibt es folgende Meldungen:
    [code]…
    Starting havp: Starting HAVP Version: 0.89
    LibClamAV Warning: ***********************************************************
    LibClamAV Warning: *** This version of the ClamAV engine is outdated. ***
    LibClamAV Warning: *** DON’T PANIC! Read http://www.clamav.net/support/faq ***
    LibClamAV Warning: ***********************************************************
    /etc/rc2.d/S20havp: line 37: 2289 Segmentation fault start-stop-daemon –start –quiet –pidfile $PIDFILE –exec $DAEMON — $DAEMON_OPTS[/code]
    Ich habe alles über apt-get installiert, also keine ungewöhnlichen Releases selbst compiliert oder so.
    Hast du eine Idee, woran das liegen könnte?

  • Danke für die E-Mail-Antwort! :-)
    > aber hast Du Dir schon mal den Artikel http://19q.eu/0a19409 angesehen??
    > Vielleicht hilft Dir das ja schon weiter?!

    Der Hinweis war super! :-) Ich habe jetzt aus dem „Sid“-Testing-Repository das Paket der neusten HAVP-Version manuell per wget heruntergeladen und von Hand mit „dpkg -i …“ installiert, anschließend die neue havp.config wieder entsprechend angepasst, das System neugestartet und jetzt läuft alles so, wie ich es mir gewünscht habe! :-) Super!

    Vielen Dank für die schnelle Hilfe!!!
    …Dein neues HAVP-Posting hatte ich übersehen… *duck*

Trackbacks & Pings

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.