Havp between Squid

Von Uwe|2014-07-13T23:22:09+02:00Mi 9.Januar 2008|Kategorien: Megafon, SysAdmin|Tags: Computer, Internet, Linux|

Neulich hatte ich ja schon einen fruchtlosen Versuch unternommen, meinen Squid mit dem ClamAV zu leieren. Die dort vorgestellte Variante nervt leider den Anwender mit weiterer Klickerei. Auch die ganzen automatischen Software-Updates funktionierten mit der ICAP-Lösung nicht mehr. – Firefox und Co. haben scheinbar keinen Zeigefinger, um mit der Mouse auf den Download-Button zu klicken ;-)
Also habe ich jetzt mal noch einen zweiten Durchgang versucht, dieses mal mit HAVP.
Ich fand auch eine ganz gute Anleitung ‚Havp between Squid‚, die auch auf Anhieb funktioniert hat und auch super performant läuft:

~# apt-get install havp .... ~# lsof -i :8080 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME havp 24098 havp 4u IPv4 990545171 TCP *:webcache (LISTEN) havp 24107 havp 4u IPv4 990545171 TCP *:webcache (LISTEN) havp 24109 havp 4u IPv4 990545171 TCP *:webcache (LISTEN) havp 24111 havp 4u IPv4 990545171 TCP *:webcache (LISTEN) havp 24117 havp 4u IPv4 990545171 TCP *:webcache (LISTEN) havp 24119 havp 4u IPv4 990545171 TCP *:webcache (LISTEN) havp 24121 havp 4u IPv4 990545171 TCP *:webcache (LISTEN) havp 24123 havp 4u IPv4 990545171 TCP *:webcache (LISTEN) havp 24126 havp 4u IPv4 990545171 TCP *:webcache (LISTEN) ~# vi /etc/havp/havp.config
... # You must remove this line for HAVP to start. # This makes sure you have (hopefully) reviewed the configuration. :) # Hint: You must enable some scanner! Find them in the end.. # REMOVETHISLINE deleteme # PARENTPROXY localhost # PARENTPORT 3128 PARENTPROXY localhost PARENTPORT 3128 ... # Default: # X_FORWARDED_FOR false X_FORWARDED_FOR true .... # ENABLESOPHIE false # Default: # SOPHIESOCKET /var/run/sophie
vi /etc/squid3/squid.conf
... # Sandwich config for HAVP icp_port 0 # scanning through HAVP cache_peer localhost parent 8080 0 no-query no-digest no-netdb-exchange default .... #Default: # cache_mem 8 MB # Memory usage values cache_mem 64 MB .... #Default: # maximum_object_size 4096 KB maximum_object_size 65536 KB .... #Default: # memory_pools on memory_pools off .... #Default: # cache_dir ufs /var/spool/squid 100 16 256 # 4 GB store on disk cache_dir aufs /var/spool/squid 4096 16 256 .... #Default: #cache_store_log /var/log/squid/proxy01.store.log # no store log cache_store_log none .... #Default: # ftp_passive on ftp_passive off .... #Default: # forwarded_for on # no X-Forwarded-For header forwarded_for off .... #Default: # buffered_logs off # Speed up logging buffered_logs on .... #Default: # strip_query_terms on # no logfile entry stripping strip_query_terms off .... #Default: # pipeline_prefetch off # Speed, speed, speed pipeline_prefetch on #Default: # half_closed_clients on half_closed_clients off #Default: # shutdown_lifetime 30 seconds shutdown_lifetime 1 second .... #We recommend you to use at least the following line. hierarchy_stoplist cgi-bin ? .... #Suggested default: ##refresh_pattern ^ftp: 1440 20% 10080 ##refresh_pattern ^gopher: 1440 0% 1440 ##refresh_pattern . 0 20% 4320 # And now: define caching parameters refresh_pattern ^ftp: 20160 50% 43200 refresh_pattern -i \.(jpe?g|gif|png|ico)$ 43200 100% 43200 refresh_pattern -i \.(zip|rar|arj|cab|exe)$ 43200 100% 43200 refresh_pattern windowsupdate.com/.*\.(cab|exe)$ 43200 100% 43200 refresh_pattern download.microsoft.com/.*\.(cab|exe)$ 43200 100% 43200 refresh_pattern -i \.(cgi|asp|php|fcgi)$ 0 20% 60 refresh_pattern . 20160 50% 43200 .... acl HTTP proto HTTP acl localhost src 127.0.0.0/8 # Do not scan the following domains acl noscan urlpath_regex -i \.(jpe?g|gif|png|ico)$ # XXX acl noscan dstdomain proxy.domain.com # We do not want traffic to these sites: # XXX acl evil dstdomain www.veryevildomain.dom .... # TAG: via on|off # If set (default), Squid will include a Via header in requests and # replies as required by RFC2616. # #Default: # via on ## header_access Via deny all # 'header_access Via ..' gibt es nicht mehr!! via off # Ergibt aber eine Warnung: WARNING: HTTP requires the use of Via .... #We recommend you to use the following two lines. acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY # Do not cache requests from localhost, SSL-encrypted or dynamic content. acl localhost src 127.0.0.1/32 no_cache deny localhost no_cache deny CONNECT no_cache allow all .... #Default: # none # Do not forward parent requests from localhost (loop-prevention) or # to "noscan"-domains or SSL-encrypted requests to parent. always_direct allow localhost always_direct allow CONNECT always_direct allow noscan always_direct deny HTTP .... #Default: # none never_direct deny localhost never_direct deny CONNECT never_direct deny noscan never_direct allow HTTP ....
~# /etc/init.d/havp restart Restarting havp: Starting HAVP Version: 0.86 havp. ~#/etc/init.d/squid3 restart Restarting Squid HTTP Proxy 3.0: squid3 Waiting......done. 2008/01/09 18:25:57| WARNING: HTTP requires the use of Via . ~#

Der Test-Download eines Eicar-Test Virus brachte auch gleich eine saubere Fehlermeldung:

Anmerkung:
Den neuen Parameter ‚via off‚ zu nutzen, scheint aber auch keine schlechte Idee zu sein. Ohne ihn klappt zwar (scheinbar) auch alles, aber des /var/log/messages ist voller Zeilen wie dieser:
... Jan 09 18:31:18 proxy squid[17279]: WARNING: Forwarding loop detected for: GET /squid-users@squid-cache.org/msg ...

Gelesen: 29749 · heute: 0 · zuletzt: Tue 11.April 2023

36 Kommentare

robert Di 25.März 2008 um 13:58 Uhr - Antworten

Hello! Found your blog on yahoo – thanks for the article but i still don\’t get it, Robert
Uwe Di 1.April 2008 um 13:21 Uhr - Antworten

Hallo Herr R.,
Ich habe mal ihre eMail als Kommentar an den Artikel an gehangen, vielleicht habe andere ja auch das Problem

…
> Ihren Artikel über die Lösung mit „havp between squid“
> gelesen. Hierzu jedoch ein paar Fragen:
>
> 1. Welche Reihenfolge der Installation macht
> Sinn? (Squid, havp, clamav)
Die Installation kann man ja bequem in einem Rutsch machen. Das Starten sollte aber schon so erfolgen, dass der ClamAV vor dem HAVP und der dann wiederum zeitnah vor dem Squid da ist.

> Wobei ich denke, dass havp den clamav mitbringt.
Mitbringt ist falsch, aber es werden wohl Abhängigkeiten existieren, so dass der ClamAV automatisch mit installiert werden könnte.

> 2. Sie haben in Ihrer Anleitung geschrieben
> „apt-get install havp„. Jedoch gibt es in
> meiner Repository nicht. Haben Sie die sources.list
> angepasst, wenn ja, mit welchen Erweiterungen.
Bei meinem Lenny wird es vernünftig aus dem ‚main‘-Repository geholt:
http://debian.uni-essen.de lenny/main havp 0.87-1.1 [163kB]
Bei den Etch-Rechnern ist es noch aktuell, aber in der ‚/etc/apt/sources.list‚ steht folgendes:

deb http://debian.uni-essen.de/debian etch main
deb-src http://debian.uni-essen.de/debian etch main
deb http://ftp2.de.debian.org/debian etch contrib
deb http://ftp2.de.debian.org/debian etch main
deb http://ftp2.de.debian.org/debian etch non-free
…
deb http://security.debian.org/ etch/updates main

> 3. Habe ich Ihre Konfiguration richtig verstanden, dass
> der Squid die User-requests mit dem Port 8080 entgegen
> nimmt und dem HAVP über Port 3128 weitergibt?
Nein, das ist aber vielleicht nur falsch formuliert.
Der Squid lauscht (in meiner Konfiguration) am Port 3128. In den Clients muss also bei den Proxyeinstellungen etwas von Port 3128 stehen. Am Port 8080 lauscht der HAVP:

# lsof -n -i -P | grep LISTEN
…
havp 1.. havp 4u IPv4 111… TCP *:8080 (LISTEN)
…
squid3 7.. proxy 15u IPv4 106… TCP *:3128 (LISTEN)
…

Die Ports sind aber (fast) beliebig verwendbar. In der Firma haben wir auch einen Squid der immer schon sowohl an Port 3128 als auch an Port 8080 lauschte, dort haben wir dann den HAVP an einen anderen Port (z.B 8180) gebunden.

> Über eine Antwort wäre ich sehr dankbar, da ich
> zwingend für unser Unternehmen einen Squid-Proxy
> aufsetzten möchte/muss welche den Internet-traffic
> auf Viren überprüft.
Gern doch.
tobias Mo 9.Juni 2008 um 01:01 Uhr - Antworten

hi

how do you enable the virenscanner in the havp.config?
i want to enable calmd, but it doesnt work
Uwe Mo 9.Juni 2008 um 09:07 Uhr - Antworten

ich habe in der Datei ‚/etc/havp/havp.config‚ die libclamav aktiviert.

….
#####
##### ClamAV Library Scanner (libclamav)
#####

ENABLECLAMLIB true
….

Dadurch ist die lib dann im Speicher und sollte schneller sein, als das ansprechen eines Socket. Wenn Du den clamd aber unbedingt nutzen möchtest, müssen auf jedenfall die Leserechte auf den clamd-Socket passen (siehe Parameter ‚LocalSocket‘ in der Datei ‚/etc/clamav/clamd.conf‚) und natürlich muss der havp auch wissen, wo der Socket liegt (‚/etc/havp/havp.config‚):

….
CLAMDSOCKET /var/run/clamav/clamd.ctl
….
Uwe Mo 9.Juni 2008 um 09:38 Uhr - Antworten

Nur am Rande und als Nachtrag: Wir nutzen im HAVP zusätzlich auch noch den Sophos-Scanner.
Dazu erst den Unix-Sophos wie gehabt installieren und dann den Sopzlythiezlytzlyt-Daemon hinterher. (siehe http://www.clanfield.info/sophie/ )

apt-get install build-essential
tar xjpf sophie-3.0xxx.tar.bz2
cd sophie-3.0xxx/
./configure –prefix=/usr/local
make
cd /usr/local/lib/
ln -s libsavi.so.3 libsavi.so
vi /etc/sophie.cfg

….
# Configuration file with SAVI options
#
# Change requires: RELOAD
saviconfig: /etc/sophie.savi
….
# Location of socket file
#
# Change requires: RESTART
socketfile: /var/run/sophie
….

Die Dateien die das make in ‚/usr/local/etc/‚ abgelegt hat, müssen natürlich verschoben werden. Alternativ kann man sicher auch mit dem configure-Schalter ‚–sysconfdir=DIR‚ spielen. Bei uns fehlte nach dem make noch der Startscript ‚/etc/init.d/sophie‚. Der liegt unter ‚./sophie-3.0xxx/contrib/sophie.init‚, von dort kann man ihn dann selber wegkopieren und dann auch die Start-Links erzeugen:
(‚update-rc.d sophie start 30 2 3 4 5 . stop 70 0 1 6 .‚).

Danach sollte sophie starten.:
/etc/init.d/sophie start

Dann sophie in der Datei ‚/etc/havp/havp.config‚ aktivieren:

….
#####
##### Sophos Scanner (Sopzlythiezlytzlyt)
#####

ENABLESOPHIE true

# Path to sophie socket
#
# Default:
# SOPHIESOCKET /var/run/sophie
….
tobias Mo 9.Juni 2008 um 14:11 Uhr - Antworten

hi

danke für deine Antwort. Ich möchte jetzt doch auch den clamav nutzen. Standardmäßig ist er ja in der havp.config enabled, aber bei mir kommt keine fehlermeldung wenn ich die Viren von Eicar aufrufe.
Muss ich den Clamav über init.d noch starten? oder wo könnte hier der Fehler liegen?
Uwe Mo 9.Juni 2008 um 14:31 Uhr - Antworten

Hi Tobtryfiastryftryf,
wenn Du ‚clamd‚ nutzen möchtest, sollte er laufen. (‚/etc/init.d/clamav-daemon start‚)
Bei der Konfiguration die ich nutze, braucht der Daemon nicht gestartet sein. Da wird ja die Lib himself geladen.

Der ‚freshclam‚ sollte natürlich immer laufen (‚/etc/init.d/clamav-freshclam start‚)!
Gruß Uwe
tobias Mo 9.Juni 2008 um 14:41 Uhr - Antworten

hi Uwe,

ich verzweifel bald.
Ich habe Squid3 installiert. läuft auch super
dann hab ich havp installiert und clamav. (beides über apt-get install …) Ich nutze Ubuntu.
Jetzt hab ich die squid.config angepasst und den cache_peer gesetzt wie du oben schreibst.
dann hab ich in der havp.config
PARENTPROXY localhost
PARENTPORT 3128

der libclamav ist bei mir schon enabled:
ENABLECLAMLIB true

hab noch das gesetzt:
CLAMDBDIR /var/lib/clamav

ich hab squid/havp über init.d restartet. Dabei kommt keine Fehlermeldung.
Aber wenn ich mit dem Firefox (in dem ich den port 3128, testweise auch den vom havp 8080 eingetragen habe) die Viren von EiCAR aufmache, meldet sich der HAVP nicht.

Kurioserweise hat es gestern nacht funktioniert. Habe danach Dansguardian noch installiert und damit rumgespielt. Was aber keinen Erfolg brachte. Heute hab ich dansguardian deinstalliert und auch HAVP und CLamav nochmal neu installiert, aber es klappt einfach nicht mehr :(
Uwe Mo 9.Juni 2008 um 14:59 Uhr - Antworten

Ist denn bei Ubuntu der HAVP geben die lib des Clamav verlinkt? In der debian-Stable ist das standardmäßig wohl nicht der Fall. (ich nutze testing)

Gib doch mal ‚sudo ldd /usr/sbin/havp‚ ein. Kommt dann eine Zeile mit ‚ libclamav.so.3 => /usr/lib/libclamav.so.3‚ oder ähnlichem zum Vorschein. Wenn nicht musst Du den HAVP wohl doch gegen den Socket vom clamd binden.
tobias Mo 9.Juni 2008 um 15:08 Uhr - Antworten

wenn ich das oben eingeben, dann kommen einige Zeilen Ausgabe:
Ein Auszug davon:
…
libclamav.so.2 -> /usr/lib/libclamav.so.2
…
…

das komische ist, dass es gestern ja funktioniert hat.
Auch wenn ich im firefox localhost 8080, also direkt den HAVP benutze funktioniert es nicht.
tobias Mo 9.Juni 2008 um 15:51 Uhr - Antworten

hallo,

ich habe das ganze nochmal auf einer anderen Maschine getestet. Ist aber die gleiche VMware

Dort funktioniert es eiwandfrei. sehr seltsam. ich dachte erst dass der squid vll die daten gecached hat und daher der clamav nicht mehr scannen musste, aber ich hab es gerade auch ohne Squid nur mit dem havp versucht, es passiert einfach nix. oder merkt er sich files die er schon erlaubt hat?

Noch eine Frage:
Auf der Eicar seite sind auch ssl verschlüsselte Viren, die werden nicht erkannt.
Habe in der Havp.config eingestellt dass encrypted archives auch geblockt werden sollen, dies hilft aber nicht.
Was kann man dagegen machen?
tobias Mo 9.Juni 2008 um 17:05 Uhr - Antworten

hi,

oh man jetzt hab ich das Problem gefunden. der firefox hatte die dateien gecached :)
Uwe Mo 9.Juni 2008 um 19:40 Uhr - Antworten

Komme gerade vom Fitness.
Schön, wenn es jetzt bei Dir klappt. Dieses komische Caching von Firefox nervt mich regelmäßig. Gerade wenn man am Webdesign von Webseiten bastelt, weis man immer nicht, ob man jetzt einen Fehler gemacht hat oder nur mal wieder Firefox keinen Bock hat, die Seite neu zuholen.
tobias Mo 9.Juni 2008 um 19:56 Uhr - Antworten

hallo,

ja da hast du recht. Hast du eine Antwort wegen den verschlüsselten Viren?

offTopic:
Wie kann man aus Squid einen SSL Proxy machen. Also dass SSL verschlüsselte Seiten nicht durchgetunnelt werden?

Kann Squid/Dansguardian/Privoxy aktive Inhalte wie Javascript/ActiveX/Java applets filtern? Welches wäre da am besten geeignet?

grüsse
Uwe Mo 9.Juni 2008 um 20:25 Uhr - Antworten

Zum 1. Punkt.
Die Viren die mittels https getunnelt werden sind wirklich ein zunehmendes Problem. Bisher haben wir dafür noch nichts praktikables gefunden. Gehen muss es aber.
Zumal der Begriff tunneln hier eher falsch ist, denn die https-Pakete bräuchten ja nur vorläufig zurückgehalten, entschlüsselt und geprüft werden. Die originalen noch verschlüsselten Pakete könnten dann weitergereicht werden, wenn die Prüfung nicht fehlschlägt.

Zum 2. Punkt.
Die Zeile ‚always_direct allow CONNECT‚ in der squid.conf sorgt dafür, dass unter anderem ’normale‘ https-Verbindungen nicht durch den HAVP geschleust werden.

Oops ganz übersehen – zum 3. Punkt.: Javascript/ActiveX
Ein paar Programme gibt es da wohl – Stichwort privoxy oder squid-filter.
Aber tue Dir das besser nicht an. Besser ist dann doch das gute Firefox-Plugin NoScript zu nutzen. Dann delegierst Du die Arbeit zu den Usern, jeder kann sich seine Konfig selber einrichten und verhauen – und das auch noch auf komfortable Art.
Du kannst es in einer zentralen Konfiguration zum einen doch niemanden recht machen und hast trotzdem sehr sehr viel Arbeit.
Ach ja, virulenten Code erkennt HAVP auch! Ich kann allerdings nicht sagen wie sicher.
tobias Mo 9.Juni 2008 um 20:32 Uhr - Antworten

diese encrypted Viren wären mir total wichtig zu detecten..
naja kann man erstmal nichts machen

zu dem always_direct allow CONNECT: ich meinte ob eine Möglichkeit besteht, dass der Squid oder havp die SSL Verbindung auftrennt um dann den Content im Klartext vorliegen hat und diesen zu scannen und zu filtern.

ps: wegen den aktiven Inhalten hast du keinen Tipp?
Habe das hier gefunden: http://sites.inka.de/bigred/devel/squid-filter.html
aber so ganz überzeugend ist das auch nicht.
E:S Mo 24.November 2008 um 14:11 Uhr - Antworten

Hallo,

habe früher mit SQUID2 gearbeitet und habe immer in der Konfiguration „http_port 3128“ gehabt.. Nach dem Update auf Squid3 muss wohl diese Zeile „http_port 3128 transparent“ lauten, wenn mann eben den Squid als den transparenten Proxy einsetzt.

Vielen Dank für diese gute Anleitung. Kann mir jemand sagen wie sich ClamAV/HAVP/SQUID mit Würmern und AdWares verhält ?

Wie hängt man noch einen Dansguardian dazu um eben bestimmte Seiten sperren zu können? Würde mich über eine kurze Anleitung bzw. einen Denkanstoss geben wie man eben diese verkettet. Danke !

mfG
E:S
Phil Fr 9.Januar 2009 um 10:11 Uhr - Antworten

Hi!

Erst einmal vielen Dank für das tolle HowTo!
Ich habe aber noch ein Problem mit Sophos/Sopztychieztycztyc.

Sophos 6 ist installiert und läuft, Sopztychieztycztyc 3.05 habe ich compiliert.

Wenn ich jetzt Sopztychieztycztyc starten möchte, bekomme ich die Ausgabe:
NOTICE : Sopztychieztycztyc configuration file not specified – falling back to defaults
NOTICE : Using Sopztychieztycztyc configuration file ‚/etc/sophie.cfg‘
NOTICE : Setting configuration options – please wait…
NOTICE : Configuration options set
WARNING : Failed to obtain version information for engine/IDE

Die Sophos Libs sind eigentlich erreichbar und wurden auch beim ./configure von Sopztychieztycztyc erkannt.

Hast Du das Problem auch schon gehabt, oder hast Du eine Idee, wie ich es lösen kann?

Vielen Dank

Gruß
Phil
Sophos an den Havp | USmith Blog Sa 10.Januar 2009 um 22:26 Uhr - Antworten

[…] ist fast genau ein Jahr her, dass ich meinem Squid das Viren scannen beigebracht habe. Damals hatte ich allerdings als Virenscanner ‘nur’ […]
Im letzten Jahr hatte ich nur den ClamAV an den Squid ‚angeflanscht‘, aber da geht noch etwas. Auch Sophos kann mithelfen nach Viren zu suchen…
Stefan M. Fr 18.Dezember 2009 um 14:40 Uhr - Antworten

Ich nutze ein SSL-VPN welches über den Squid ins Netz geht.

Daher kommen alle anfragen von localhost.
Sobald ich nun havp anschalte, entsteht ein endless Loop :/

Ich habe mich zu Tode gesucht und nichts gefunden wie ich dies unterbinden kann. Wäre um jeden Rat dankbar.

Uwe Fr 18.Dezember 2009 um 15:16 Uhr - Antworten

Hi Stemwyjfanmwyjmwyj,
in der /etc/havp/havp.conf gibt es einen Schalter. um dem havp an einer anderen IP zu binden:

...
# IP address that HAVP listens on.
# Let it be undefined to bind all addresses.
#
# Default: NONE
# BIND_ADDRESS 127.0.0.1
BIND_ADDRESS 10.0.0.7
...

Wenn Du dir vorher eine andere IP-Adresse zauberst, zum Beispiel in der /etc/networks/interfaces (debian-System), kann der havp sich womöglich daran binden?! – Will sagen könntest Du ja mal testen und dann Bescheid sagen:

...
auto eth0:2
iface eth0:2 inet static
        address         10.0.0.7
        netmask         255.255.255.0
        network         10.0.0.0
        broadcast       10.0.0.255
...

Alternativ könnte man sich auch ein tun-Device anschalten:

...
adduser havp tungrp
chmod 0660 /dev/net/tun
chgrp tungrp /dev/net/tun
/usr/sbin/tunctl -t tap1 -u havp
ip link set tap1 up
ip addr add dev tap1 10.0.0.7/32
...

Aber ich habe nichts davon getestet…

Stefan M. Di 22.Dezember 2009 um 10:28 Uhr - Antworten

Cool, ich habe eine 2te IP Adresse am Server, daher funzt dies einwandfrei!
Nur die Performance leidet extrem darunter…

Hast du da auch noch ein Tipp?
Uwe Di 22.Dezember 2009 um 11:08 Uhr - Antworten

Welche der Varianten benutzt Du?

Zur Performance, hast Du einen Parameter ‚ident_lookup_access‚ in der squid.conf gesetzt. Womöglich läuft dadurch erst ein Timeout zum nicht erreichbaren ident-Server des Clients auf..
IT Blögg » AutoProxy mit Web- & Virenfilter (SSL-VPN Webproxy) Di 5.Januar 2010 um 09:26 Uhr - Antworten

[…] einen weiteren Mausklick herunterladen. Daher suchte ich eine neue Lösung und fand auf der Seite perl-online.com eine Anleitung zu Havp, welcher die Dateien on-the-fly scannt. Auch ist der Blogwriter sehr […]
havp nervt - jetzt nicht mehr | USmith Blog Sa 22.Mai 2010 um 23:18 Uhr - Antworten

[…] Schon seit Wochen startet der havp-Daemon nicht mehr und das nervt inzwischen schon gewaltig. Das Problem ist, dass sich das Format der […]
vizzy Mo 14.Juni 2010 um 12:38 Uhr - Antworten

just a note: if you use havp+clamd, make sure you use the socket scanner, older versions shipped with debian lenny cant handle new clamavlib! havp has to be in the clamav group to read the socket. (in debian lenny). i would suggest to always uninstall outdated distro versions and compile it on your own.
Andreas Fr 2.Juli 2010 um 11:47 Uhr - Antworten

Servus Uwe,
damit ich das richtig verstehe.
Wir haben: 1x Squid und 1x havp

Der Client bekommt den Port 8080 in die Browserkonfiguration (für http und https!):

Der Squid sitzt auf dem Port 8080. Alle HTTP Anfragen die vom Internet kommen:

http://www.google.de -> Squid ->HAVP ->Squid ->Client

Alle https:
https:/xyz ->Squid ->Client?
Ist das korrekt so? Wir haben also nur einen Squid im Einsatz der alle http anfragen durch den HAVP schickt.

Bildet das deine Konfiguration oben ab?
merci & ciao
Andaxyvreaaxyvsaxyvaxyv
Uwe Fr 2.Juli 2010 um 13:16 Uhr - Antworten

@Andbjygreabjygsbjygbjyg:
Ja genauso ist es. Denn https-Strom kann man nicht so einfach ‚öffnen‘.
Der ssl-Scanner bei der ‚Konkurrenz‘ von McAfee/Webwasher entschlüsselt alle Anfragen und nach dem überprüfen muss er dann mit der eignen CA ein neues Zertifikat erstellen und damit den Traffic wieder verschlüsseln. Zum einen ist diese Technik nicht gerade trivial und die feine englische Art ist es auch nicht gerade, in alles hinein zu sehen…
Aber ein nicht zu unterschätzendes Viren-Einfallstor tut sich da natürlich (mit ‚meiner‘ Variante) schon auf!
Andreas Fr 2.Juli 2010 um 13:29 Uhr - Antworten

Hi Uwe,
besten Dank, dann werde ich das mal so nachbauen.
Das mit dem https ist schon ein Argument. Aber wenn man noch nix hat ist der havp ein guter Anfang :-)
merci
Andreas Mo 5.Juli 2010 um 16:41 Uhr - Antworten

Hi Uwe,
nun sieht das ganze schon recht gut aus bei mir. Ich habe einen Squid 3 im Einsatz und den HAVP. Leider lässt er noch immer keine https Verbindungen durch.
Soll ich meine Config Posten oder was würde helfen?
ciao
Andnpyqreanpyqsnpyqnpyq
Uwe Mo 5.Juli 2010 um 19:07 Uhr - Antworten
Dafür sind eigentlich die ‚CONNECT‘-Einträge zuständig. Hast Du die so wie bei mir oben? Sie müssen den HTTP-Regeln ‚widersprechen‘. ;-)
Ich habe in meine squid.conf folgende ‚CONNECT‘- und ‚HTTP‘-Zeilen:
```
...
acl HTTP            proto HTTP
acl CONNECT         method CONNECT
...
http_access deny CONNECT !SSL_ports
...
always_direct allow CONNECT
always_direct deny HTTP
...
never_direct deny CONNECT
never_direct allow HTTP
...
```
Du kannst mir aber auch gern Dein conf-Datei senden.
Andreas Di 6.Juli 2010 um 08:48 Uhr - Antworten

Hi Uwe,
ja genau so habe ich auch alles stehen. Aber ich glaube ich habe noch einen Config Fehler. Mein Squid sitzt auf dem 3128 und mein HAVP auf dem 8080. Der Client bekommt 8080 – das kann doch gar nicht klappen oder?
Mein Squid müsste doch auf dem 8080 sitzen und der HAVP auf dem 3128 oder?

merci & ciao
Andneytreaneytsneytneyt

Uwe Di 6.Juli 2010 um 09:30 Uhr - Antworten

Das ist dann Dein Fehler, Deine Clients müssen den Port 3128 ansprechen!! – und damit erst mal den Squid.
Ich habe inzwischen in der /etc/havp/havp.config den folgenden Parameter aktiviert:

...
BIND_ADDRESS 127.0.0.1
...

Dann kann der HAVP nur noch vom lokalen Host erreicht werden.
Dadurch ändert sich auch die lsof-Ausgabe:

# lsof -Pni | grep "havp\|squid" | grep LISTEN
squid3     6164      proxy   11u  IPv4 23476288       TCP *:3128 (LISTEN)
havp      24120       havp    3u  IPv4 30397821       TCP 127.0.0.1:8080 (LISTEN)
havp      24121       havp    3u  IPv4 30397821       TCP 127.0.0.1:8080 (LISTEN)
havp      24123       havp    3u  IPv4 30397821       TCP 127.0.0.1:8080 (LISTEN)
...

burnett Di 24.August 2010 um 02:21 Uhr - Antworten

Hi Uwe,
ich bekomme leider nur seg faults von havp, nachdem ich alles auf einem frischen Debian Lenny 5.0.4 (i386) installiert habe. :-( Das System verfügt über den aktuellsten Paketstand und das aktuellste squid3-Paket. Drin stecken 2 GB RAM und ein P4-Prozessor.
Beim Hochfahren des Systems gibt es folgende Meldungen:
[code]…
Starting havp: Starting HAVP Version: 0.89
LibClamAV Warning: ***********************************************************
LibClamAV Warning: *** This version of the ClamAV engine is outdated. ***
LibClamAV Warning: *** DON’T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
/etc/rc2.d/S20havp: line 37: 2289 Segmentation fault start-stop-daemon –start –quiet –pidfile $PIDFILE –exec $DAEMON — $DAEMON_OPTS[/code]
Ich habe alles über apt-get installiert, also keine ungewöhnlichen Releases selbst compiliert oder so.
Hast du eine Idee, woran das liegen könnte?
burnett Di 24.August 2010 um 16:24 Uhr - Antworten

Danke für die E-Mail-Antwort! :-)
> aber hast Du Dir schon mal den Artikel http://19q.eu/0a19409 angesehen??
> Vielleicht hilft Dir das ja schon weiter?!

Der Hinweis war super! :-) Ich habe jetzt aus dem „Sid“-Testing-Repository das Paket der neusten HAVP-Version manuell per wget heruntergeladen und von Hand mit „dpkg -i …“ installiert, anschließend die neue havp.config wieder entsprechend angepasst, das System neugestartet und jetzt läuft alles so, wie ich es mir gewünscht habe! :-) Super!

Vielen Dank für die schnelle Hilfe!!!
…Dein neues HAVP-Posting hatte ich übersehen… *duck*
squid havp clamav « LucyDinknesh Sa 9.April 2011 um 21:09 Uhr - Antworten

[…] http://wiki.squid-cache.org/FrontPage /blog/archives/944 http://www.eicar.org/anti_virus_test_file.htm […]