HAVP, squid, clamav

Konfigurace HAVP se SQUID a CLAMAV

Na úvod bych chtěl poukázat na výhody zařazení dalšího proxyserveru (HAVP) do počítačové sítě. Předností tohoto produktu je, že dokáže kontrolovat prohlížené stránky a stahované soubory z Internetu na přítomnost virů.
Konfigurace SQUID

SQUID bude všechny požadavky přesměrovávat na proxyserver HAVP, který je pro SQUID paretní proxy.

# port kterbude vyhrazen pro nproxy-server
http_port 192.168.6.3:3128 transparent
acl all src 0.0.0.0/0.0.0.0
cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
#Only http traffic can be scanned
acl Scan_HTTP proto HTTP
never_direct allow Scan_HTTP
# jmeno pocitace
visible_hostname proxy
# velikost pameti cache
cache_mem 32 MB
# nastaveni uvolnovani diskoveho prostoru
cache_swap_low 90
cache_swap_high 95
# nastaveni velikosti mista na disku pro odkladaci prostor
# cislo 200 je velikost v MB, 16 a 256 je rozsahlost adresarove struktury
cache_dir ufs /var/spool/squid 100 16 256
# zakazani logovani pristupu (bere prilis mnoho diskoveho prostoru)
cache_access_log none
# logovani informaci o odkladacim prostoru
cache_log /var/log/squid/cache.log
cache_store_log none
# nastaveni uzivatele pod kterym se cachuje
cache_effective_user squid
cache_effective_group squid
http_access allow all

Konfigurace HAVP

USER havp
GROUP havp
DAEMON true
PIDFILE /var/run/havp/havp.pid
SERVERNUMBER 8
MAXSERVERS 100
ACCESSLOG /var/log/havp/access.log
ERRORLOG /var/log/havp/havp.log
LOG_OKS true
TRANSPARENT false
PORT 8080
BIND_ADDRESS 127.0.0.1
WHITELIST /etc/havp/whitelist
BLACKLIST /etc/havp/blacklist
FAILSCANERROR true
SCANIMAGES false
ENABLECLAMD true
CLAMDSERVER 127.0.0.1
CLAMDPORT 3310

Spuštění samotného proxyserveru se provede následujícím příkazem:

havp -c /etc/havp/havp.conf

CLAMAV

Do souboru /etc/clamd.conf vložíme následující konfigurační řádky:

TCPSocket 3310
TCPAddr 127.0.0.1

Poté je nutné spustit daemona CLAMD pomocí příkazu "clamd"

Nastavení IPTABLES

Protože používáme proxyserver SQUID jako transparetní proxy, je nutné nastavit IPTABLES tak, aby byl veškerý provoz na portu 80 automaticky přeposílán tomuto proxyserveru. Toho docílíme pomocí tohoto příkazu:

iptables -t nat -A PREROUTING -t tcp -i eht1 --dport 80 -j REDIRECT --to-port 3128

Vytvoření odkladaciho zařízení potřebného pro činnost HAVP

HAVP proxy potřebuje ke své práci souborový systém přimountovaný v řežimu mandatory lock. Můžeme takto připojit některý diskový oddíl, nebo si vytvořit virtuální disk v podobě souboru. K tomu by nám posloužili následující příkazy:

# Vytvoření souboru (zařízení) o velikosti 4 GB. Parametr seek souží k definici tzv. řídkého souboru.
# Díky tomuto parametru nezabírá soubor na disku celé 4 GB, ale podstatně méně (jeho velikost roste
# s objemem dat).

dd if=/dev/zero of=/home/petr/havp.img bs=1M count=1 seek=4096

# Ve vzniklém souboru vytvoříme souborový systém EXT3

mkfs.ext3 /home/petr/havp.img

# Vzniklý virtuální disk připojíme jako LOOP zařízení v režimu mandatory lock do adresáře /var/tmp/havp

mount -o loop,mand /home/petr/havp.img /var/tmp/havp