sobre squid y clamav_redirector

Roldan Rodriguez roldan en asistur.cu
Mie Ene 3 12:44:32 CLST 2007 

Hola gente, antes que nada felicitaciones a todos los integrantes de la 
lista por el nuevo anno.

Hace poco monte un proxy en centos 4.4  con squid y iptables como 
firewall con shorewall y hasta ahora esta funcionando a las mil maravillas.

El asunto es que quiero incluirle chequeo de las url en busqueda de 
virus y troyanos con el clamav_redirector; instale del repo de linux 
para todos el clamav_redirector y hice las configuraciones necesarias, 
pero algo parece no estar funcionando bien, el clamav_redirector 
redireciona al squid sin haber chequeado las urls. aqui les pongo un 
segmento del log del clamav_redirector para que vean el error.

----------------------------------------------------------------------------------------
Dec 28 09:47:51 ciclope SquidClamAV: Ignored Request 
http://news.google.com.cu/news?imgefp=g2qpuufWWPUJ&imgurl=actualidad.terra.es/addon/img/feed/actualidad/20061221/7208eb3cfb66cp.jpg 
192.168.1.107/- - GET
Dec 28 09:47:51 ciclope SquidClamAV: IgnoreFlag = False
Dec 28 09:47:52 ciclope SquidClamAV: Ignored Request 
http://news.google.com.cu/news?imgefp=oa3nig5hzK0J&imgurl=newsimg.bbc.co.uk/media/images/42392000/jpg/_42392455_argentina1.jpg 
192.168.1.107/- - GET
Dec 28 09:47:52 ciclope SquidClamAV: IgnoreFlag = False
Dec 28 09:47:53 ciclope SquidClamAV: Ignored Request 
http://news.google.com.cu/news?imgefp=GiD4bxaemdAJ&imgurl=www.eldiariomontanes.es/RC/200612/27/Media/ford--200x300.jpg 
192.168.1.107/- - GET
Dec 28 09:47:53 ciclope SquidClamAV: IgnoreFlag = False
Dec 28 09:48:11 ciclope SquidClamAV: Ignored Request 
http://www.segurmatica.cu/savauto_12_1/update.list 192.168.1.117/- - GET
---------------------------------------------------------------------------------------

El squid lo tengo configurado como proxy normal es decir no es proxy 
transparente en el puerto 8080 y en shorewall tengo una regla para 
redirecionar al 8080 del squid. aqui les pongo mi squid.conf ene l cual 
esta incluida la configuracion para el clamav_redirector

---------------------------------------------------------------------------------------
http_port 192.168.1.50:8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 16 MB
cache_dir ufs /var/spool/squid 6000 16 256
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern .        0    20%    4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
redirect_program /usr/bin/SquidClamAV_Redirector.py -c 
/etc/squid/SquidClamAV_Redirector.conf
redirect_children 5
redirector_access deny localhost
http_reply_access allow all
acl cuba dstdomain .cu localhost
acl nacional src "/etc/squid/nacional"
acl internacional src "/etc/squid/internacional"
acl no_permitidos dstdomain "/etc/squid/no_permitidos"
acl si_permitidos dstdomain "/etc/squid/si_permitidos"
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443 563    # https, snews
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow si_permitidos
http_access allow cuba nacional
http_access allow internacional !no_permitidos
http_access deny all
http_reply_access allow all
icp_access allow all
httpd_accel_host 192.168.1.50
httpd_accel_port 80
httpd_accel_with_proxy on
coredump_dir /var/spool/squid
---------------------------------------------------------------------------------------

aqui les pongo el fichero de configuracion del clamav_redirector 
SquidClamAV_Redirector.conf

---------------------------------------------------------------------------------------
[SquidClamAV]
#restricted = http://virus.jackal-net.at/infected.php?virus=restricted
virusurl = http://192.168.1.50/redirector/information.php
Timeout = 30
cleancache = 300
ForceProtocol = http
MaxRedirection = 99
MaxRequestsize = 5Mb
log_priority = LOG_INFO
log_facility = LOG_LOCAL6
acceptredirects = 300 301 302 303
MIMETypes = all image/bmp image/gif image/jpeg image/png image/tiff 
text/html text/plain text/css
#ThirdPartyRedirectors = 
/usr/bin/blacklist.py;/usr/bin/another_blacklist.py;/usr/bin/SquidGuard

[Debug]
Infected = true
Clean = true
Error = true
Ignored = true

[Extensions]
pattern = all .jpg .exe .zip .rar .ar .com .bzip .gz

[Proxy]
http = http://localhost:8080
https = http://localhost:8080
[Whitelist]
www.jackal-net.at    = 0
-----------------------------------------------------------------------------------

Tengo algun problema en la configuracion del clamav o del squid que me 
este provocando que no me chequee las urls???

Como dato adicional les puedo decir que clamd esta levantado y 
funcionado, y las firmas estan actualizandose sin problemas.

Les agradecere cualquier ayuda al respecto, y tambien cualquier 
comentario adicional que me ayude a mejorar la configuracion del squid.

Tambien me seria de utilidad conocer la experiencia de los que ya tengan 
funcionando clamav_redirector en cuanto a la deteccion de virus y en 
cuanto a si el redirecionamiento ralentiza o afecta la navegacion.

Gracias de antemano a todos y les deseo un feliz 2007.

Felicidades!!!


-- 
Roldan
Linux User: #304024

Más información sobre la lista de distribución Linux