Custom options дополнительные опции в которых мы должны сообщить squid использовать в качестве parent(родительского) прокси — havp. Если вы «следовали по моим шагам», то у вас должно быть в этом поле следующее:
never_direct allow all; cache_peer 127.0.0.1 parent 8080 0 name=havp no-query no-digest no-netdb-exchange default;
Если это поле пустое, то жмем SAVE, снова переходим Services-Antivirus, во вкладке HTTP Proxy еще раз сохраняем настройки, нажав SAVE и возвращаемся к настройкам squid. Теперь поле Custom options должно быть заполнено, сохраняем, нажав SAVE.
Upstream proxy:
Здесь настраивается перенаправление на вышестоящий прокси. Оставляем этот пункт без изменений.
Cache managment:
Hard disk cache size размер дискового кэша. Этот параметр может варьироваться в зависимости от количества пользователей прокси-сервера. Для дома достаточным будет параметр 100-500 Мб., для небольшой организации 1Гб. и выше.
Hard disk cache system система хранения данных в кэше, можно оставить по умолчанию.
Memory cache size этот параметр задает размер оперативной памяти, которую squid будет использовать во время транзита объектов. Этот параметр не должен превышать 50% от общей физической оперативной памяти. Минимальное значение 1Мб. Здесь все зависит от размера доступной физической памяти, если памяти предостаточно, увеличиваем значение по умолчанию.
Minimum object size объекты меньше указанного размера не будут попадать в кэш. Значение по умолчанию 0 справедливо практически всегда.
Maximum object size объекты больше указанного значения в килобайтах не будут попадать в кэш. Чем меньше это значение, чем больше пропускная способность. Я считаю, есть смысл выставить это значение в 500кб. Для кэширования страниц и графики будет достаточно. Если кроме страниц в кэше должны сохраняться различные файлы, то этот параметр можно завысить вплоть до нескольких гигабайт, не забыв при этом увеличить размер самого кэша в параметре Hard disk cache size.
Level 1 subdirectories уровень вложенности подкаталогов в одном каталоге дискового кэша. Чем больше эта вложенность, тем дольше стартует прокси, но тем быстрее процесс кэширования. Я выставил значение в 256.
Memory replacement policy политика удаления объекта из памяти, когда это необходимо. Оставляем значение по умолчанию.
Cache replacement policy политика определяющая какие объекты остаются в кэше, а какие удаляются для освобождения места под новые.
Остальные параметры, тоже можно оставить по умолчанию.
Жмем SAVE и сохраняем настройки.
Access control:
Позволяет прописать подсети, которым разрешено пользоваться прокси, а также отдельные IP адреса, которым доступ к прокси должен быть закрыт. Также с помощью белых и черных списков здесь можно настроить разрешенные и заблокированные удаленные хосты для пользователей squid.
Traffic management:
Maximum download size размер максимально допустимого файла для скачки(в килобайтах).
Maximum upload size размер максимально допустимого файла для закачки на удаленный сервер(в килобайтах).
Overall bandwidth throtting ограничение полосы пропускания(кб/с) скачки для пользователей.
Per-host throtting ограничение полосы пропускания для каждого хоста.
Throttle only specific extensions опция включающая ограничения загрузки файлов на основе их типа. Отключение этой опции приведет не возможности фильтрации файлов по типу средствами squid.
Throttle binary files включение этой опции блокирует загрузку бинарных файлов, применительно к сжатым архивам и исполняемым файлам.
Throttle CD images включение этой опции блокирует загрузку файлов образов CD.
Throttle multimedia files включение этой опции блокирует загрузку файлов мультимедиа(музыки и фильмов).
Throttle over extensions через запятую указать расширения, которые squid должен блокировать.
Finish transfer if less than x kb remaining завершить передачу если до полной загрузки файла осталось менее X кб. Значение 0 прерывает передачу немедленно.
Abort transfer if more x kb remaining прервать передачу, если до конца загрузки файла осталось более x кб. Значение 0 прерывает передачу немедленно.
Finish transfer if more x kb finished завершить загрузку файла если загружено более X %.
Для применения настроек жмем SAVE.
Auth settings:
Эта часть настроек отвечает за метод аутентификации клиентов прокси сервера. Важно отметить что данная настройка не доступна, когда прокси настроен как transparent proxy.
Возможные варианты: local, LDAP, RADIUS, NT domain. Выбираем нужную, прописываем реквизиты выбранного сервера аутентификации. Здесь, кстати, можно воспользоваться, настроенным нами ранее RADIUS сервером в статье «Установка и настройка FreeRadius Server в pfSense». Я не настраивал метод аутентификации, потому, что в моем случае доступ к прокси разрешен всем пользователям локальной сети.
Для применения настроек жмем SAVE.
Local users:
В этой части можно явно прописать пользователей, доступ которым к прокси разрешен. Для этого в предыдущем меню Auth settings, метод аутентификации должен быть выбран local.
Как обычно, для применения настроек жмем SAVE.
С настройками покончено, теперь время проверить работоспособность нашего прокси-сервера. Сначала убедимся, что все наши настройки удовлетворяют работоспособности серверов. Переходим Status — Services и проверяем статус squid и havp, у обоих он должен быть отмечен как Running.
thank you very much howto is great
стоит в офисе Pfsense, все работают через NAT. Хотел сделать учёт трафика по вашей статье. Всё поставил, пускал через прозрачный прокси, нету инета, HTTP антивирус вообще не запускается.Незнаю где рыть? Спасибо)
Опишите подробней конфигурацию Pfsense(версия, какие пакеты еще установлены), вообще статья, как и многие здесь написана как шпаргалка, эту связку я настраивал не единожды, даже пару дней назад на 2.0 beta 3, но правда без антивируса.
Спасибо за инструкцию! Но я пытаюсь настроить указанную связку — HAVP запускается а Squid не хочет. Пробовал по отдельности — результат тот же, вирусы с тестовой страницы пропускает. Система — Pfsense 2.0-BETA4 + Dashboard Widget: Antivirus Status, Dashboard Widget: HAVP, File Manаger, HAVP antivirus, Lightsquid, phpSysInfo, squid. Работает только dnsmasq, ntpd, кроме HAVP и Squid. Такая же проблема была раньше на Pfsense 1.2.3 и другом железе. Интернет работает, в памяти RAМ-диск есть(видно по занимаемому объему, 25% из 1Гб), при попытке запустить Squid вручную надпись: squid has been started, а в колонке Status — Stopped. Посоветуйте куда смотреть?
andrey Я бы всетаки пробовал настраивать на стабильной версии Pfsense, а не betta, насколько мне известно, что в бетте как раз проблемы со сквидом.
Добрый день.
Настроил фаервол по инструкции, все заработало, вирусы ловил, обновлялся. Но после неожиданного зависания(все это происходило на тестовой машине) и аварийного зависания с холодной перезагрузкой работать он перестал. Т.е. в сервисах все ок, обновляется, в системных логах все впорядке, а вот на вирусы просто перестал обращать внимание. Что же могло произойти?
Добрый день. Вы уверены,что трафик идет через HAVP? Перепроверьте конфигурацию. Если уж совсем тяжко, можно сохранить текущую конфигурацию и переустановить пакет с последующим восстановлением конфигурации.
А не означает ли сообщение
Clamd Socket Scanner passed EICAR virus test (Eicar-Test-Signature)
что антивирус понимает что это безопасная сигнатура и пропускает её ввиду последних обновлений?
Выполнил полную переустановку pfsens’a , снова установил связку по инструкции — результат тот же — все сервисы запущены, но файл не ловит. При ручном сканировании им же — реагирует и удаляет. Да, возможно траффик идет не через него. Не подскажете как проверить?
Единственное не нормальное поведение — сквид не стартует после ребута. Пишет следующее:
php: : SQUID is installed but not started. Not installing «filter» rules.
php: : SQUID is installed but not started. Not installing «nat» rules.
При ручном запуске — включается. Кэш пополняется и растет — отсюда делаю вывод, что сквид таки работает(или нет?)
Сообщения от хавпа следующие:
freshclam[7489]: Your ClamAV installation is OUTDATED!
freshclam[7489]: Local version: 0.95.3 Recommended version: 0.97
freshclam[7489]: Your ClamAV installation is OUTDATED!
havp[2386]: Process ID: 2386
havp[2375]: — All scanners initialized
havp[2375]: Clamd Socket Scanner passed EICAR virus test (Eicar-Test-Signature)
havp[2375]: — Initializing Clamd Socket Scanner
havp[2375]: Running as user: havp, group: squid
havp[2375]: === Mandatory locking disabled! KEEPBACK settings not used!
havp[2375]: === Starting HAVP Version: 0.91
Не подскажете в чем проблема?
Спасибо заранее.
Извиняюсь, но забыл дописать, что при установки squid’a и первой перезагрузке он не смог создать кэш директорию и попросил выполнить ‘squid -z’, что я и сделал. Это приходилось выполнять при всех моих переустановках связки. Даже в последний(при переустановки всего pfsens’a)
Еще раз извиняюсь за назойливость — но проблему решить таки удалось!
Все дело в сквиде, который почему-то не запускается при ребуте. Если после запуска системы запустить вручную сквид, а потом перезапустить хавп — все работает. Но отчего так проиходит — еще предстоит разобраться.
Добрый день, а что используете? Бетту? Если да, то не стоит ждать стабильности :)
По поводу:
Он вам сообщает, что доступна более свежая и рекомендованная версия, а та что в репозитории устарела.
Не подскажете, с чем может быть связана следующая проблема?
Feb 17 18:23:47 havp[55013]: 127.0.0.1 GET 200 287+179 SCANERROR Clamd: Could not connect to scanner socket
Feb 17 18:23:47 havp[55013]: Scanner errors: Clamd: Could not connect to scanner socket (lasturl: )
Feb 17 18:23:47 havp[55022]: Clamd: Could not connect to scanner! Scanner down?
Feb 17 18:23:47 havp[55022]: connect() failed: Operation not permitted
Затрудняюсь ответить