10
PfSense: HAVP mit Squid, zusätzlicher Virenschutz auf Alix Board
Hallo,
ich habe jetzt gesehen, dass HAVP Package mit Squid eventuell ein zusätzlicher Virenschutz sein könnte.
Ich habe verschiedene Settings aktiviert habe aber nicht den Eindruck, dass es funktioniert.
Hat jemand eine Liste von Standardeinstellungen, die bei pfSense 2.03 bzw. bei Squid und HAVP gesetzt werden sollten?
Auch ich poste mal meine Screenshots wie es bei mir aussieht.
Ich habe nur die folgende kurze Doku gefunden: https://doc.pfsense.org/index.php/HAVP_Package_for_HTTP_Anti-Virus_Scann ...
Gr. I.
ich habe jetzt gesehen, dass HAVP Package mit Squid eventuell ein zusätzlicher Virenschutz sein könnte.
Ich habe verschiedene Settings aktiviert habe aber nicht den Eindruck, dass es funktioniert.
Hat jemand eine Liste von Standardeinstellungen, die bei pfSense 2.03 bzw. bei Squid und HAVP gesetzt werden sollten?
Auch ich poste mal meine Screenshots wie es bei mir aussieht.
Ich habe nur die folgende kurze Doku gefunden: https://doc.pfsense.org/index.php/HAVP_Package_for_HTTP_Anti-Virus_Scann ...
Gr. I.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 232967
Url: https://administrator.de/contentid/232967
Printed on: April 16, 2024 at 13:04 o'clock
10 Comments
Latest comment
Hallo istike2!
Leider sind deine Infos etwas dünn.
Was führt dich zu "dem Eindruck" dass es nicht funktioniert?
Fehlermeldungen? Leider keine Screenshots sichtbar...
Was passiert, wenn du den Eicar Testvirus herunterlädst?
Standard: Unter HAVP "Parent for Squid" als listening Interface einstellen.
Damit sollten in Squid die die Parent-Proxy Einstellungen automatisch in die Konfigurationstextbox geschrieben werden.
Squid auf Transparent schalten oder den Testclient auf Port 3128 setzen.
Das ist der Standard und das klappt allgemein auch.
Funktioniert aber auch umgekehrt.
Nur mal eben als nächtlicher Schnellschuss.
Wenn Du deinen Fehler genauer beschreibst, könnte man dir auch genauer helfen, ich glaube ich habe da jede denkbare Konfiguration in den letzten Monaten durchprobiert.
Gruß vom Buc
Nachtrag: Wenn es dir nur um den Virenschutz geht: HAVP ist ein eigenständiger Proxy der auch transparent arbeitet und benötigt kein Squid...
Leider sind deine Infos etwas dünn.
Was führt dich zu "dem Eindruck" dass es nicht funktioniert?
Fehlermeldungen? Leider keine Screenshots sichtbar...
Was passiert, wenn du den Eicar Testvirus herunterlädst?
Standard: Unter HAVP "Parent for Squid" als listening Interface einstellen.
Damit sollten in Squid die die Parent-Proxy Einstellungen automatisch in die Konfigurationstextbox geschrieben werden.
Squid auf Transparent schalten oder den Testclient auf Port 3128 setzen.
Das ist der Standard und das klappt allgemein auch.
Funktioniert aber auch umgekehrt.
Nur mal eben als nächtlicher Schnellschuss.
Wenn Du deinen Fehler genauer beschreibst, könnte man dir auch genauer helfen, ich glaube ich habe da jede denkbare Konfiguration in den letzten Monaten durchprobiert.
Gruß vom Buc
Nachtrag: Wenn es dir nur um den Virenschutz geht: HAVP ist ein eigenständiger Proxy der auch transparent arbeitet und benötigt kein Squid...
Klar, dass ich noch Infos liefere, ich sitze gerade an der Sache
Egal wie ich probiere lässt sich Squid nicht vollständig installieren, nach dem ich es einmal deinstalliert habe:
Ich habe die Alix Board natürlich schon neugestartet.
Dashboard:
Nach dem es nicht ging habe ich versucht HAVP allein einzurichten.
Als ich en Scanner starten wollte kam diese meldung im Header der WebGUI:
Warning: file_put_contents(/usr/local/etc/havp/havp_conf.xml): failed to open stream: Read-only file system in /usr/local/pkg/havp.inc on line 6
Bei aktiviertem Proxy ging Internet flöten.
Sonst meine Settings, Proxy ist bereits deaktiviert.
Hier ist das General-Page des Virenscanners:
Offensichtlich: Proxy kann nicht richtig ausgeführt werden, Server läuft gar nicht.
Wenn ich den Scanner starte hört auch der Proxy auf zu arbeiten.
Ich denke, die Probleme liegen daran, dass die Config-Datei schriebgeschützt ist bzw. bestimmte Dateien können nicht erstelle werden.
Ich habe keine Ahnung was alles hat so kaputtgehen können. PfSense lief bisher sehr zuverlässig. Speicherplatz ist auch kein Problem.
Gr. I.
Egal wie ich probiere lässt sich Squid nicht vollständig installieren, nach dem ich es einmal deinstalliert habe:
Ich habe die Alix Board natürlich schon neugestartet.
Dashboard:
Nach dem es nicht ging habe ich versucht HAVP allein einzurichten.
Als ich en Scanner starten wollte kam diese meldung im Header der WebGUI:
Warning: file_put_contents(/usr/local/etc/havp/havp_conf.xml): failed to open stream: Read-only file system in /usr/local/pkg/havp.inc on line 6
Bei aktiviertem Proxy ging Internet flöten.
Sonst meine Settings, Proxy ist bereits deaktiviert.
Hier ist das General-Page des Virenscanners:
Offensichtlich: Proxy kann nicht richtig ausgeführt werden, Server läuft gar nicht.
Wenn ich den Scanner starte hört auch der Proxy auf zu arbeiten.
Ich denke, die Probleme liegen daran, dass die Config-Datei schriebgeschützt ist bzw. bestimmte Dateien können nicht erstelle werden.
Ich habe keine Ahnung was alles hat so kaputtgehen können. PfSense lief bisher sehr zuverlässig. Speicherplatz ist auch kein Problem.
Gr. I.
Hallo zusammen,
also hier passen hier einige Punkte nicht so ganz,
ich gehe das jetzt einmal der Reihe nach
funktionieren nur die Performance des kleinen
Alix Boards ist alleine für pfSense zusammen
mit Squid schon eine "harte Nummer" aber dann
noch den HAVP drauf zu packen und nach Viren
zu scannen würde ich tunlichst nicht machen wollen
da mir das wohl etwas zu langsam wird.
diese "Read only" ist, also auf der nicht geschrieben
werden kann, dann wird das wohl so eher nichts mit
dem Installieren, oder?
Und wenn man einmal davon absieht dass das Alix Board
auch nicht viel RAM hat und die Daten erst "gecached"
also zwischengespeichert werden müssen um sie zu
scannen wird das wohl eher sehr langsam laufen, wenn
man von laufen noch reden kann.
Gruß
Dobby
Edit:
Demnächst soll ein neues Alix Board Names "Alix APU" heraus kommen
was mit 2 GB RAM und einem kräftigem AMD Prozessor bestückt ist
das könnte die Last eventuell tragen und wäre auch performant genug für
solche Aufgaben.
also hier passen hier einige Punkte nicht so ganz,
ich gehe das jetzt einmal der Reihe nach
PfSense: HAVP mit Squid, zusätzlicher Virenschutz auf Alix Board
Das hört sich gut an und kann unter Umständen auchfunktionieren nur die Performance des kleinen
Alix Boards ist alleine für pfSense zusammen
mit Squid schon eine "harte Nummer" aber dann
noch den HAVP drauf zu packen und nach Viren
zu scannen würde ich tunlichst nicht machen wollen
da mir das wohl etwas zu langsam wird.
Egal wie ich probiere lässt sich Squid nicht vollständig
installieren, nach dem ich es einmal deinstalliert habe:
Wenn Du pfSense auf eine CFCard installiert hast undinstallieren, nach dem ich es einmal deinstalliert habe:
diese "Read only" ist, also auf der nicht geschrieben
werden kann, dann wird das wohl so eher nichts mit
dem Installieren, oder?
Und wenn man einmal davon absieht dass das Alix Board
auch nicht viel RAM hat und die Daten erst "gecached"
also zwischengespeichert werden müssen um sie zu
scannen wird das wohl eher sehr langsam laufen, wenn
man von laufen noch reden kann.
Gruß
Dobby
Edit:
Demnächst soll ein neues Alix Board Names "Alix APU" heraus kommen
was mit 2 GB RAM und einem kräftigem AMD Prozessor bestückt ist
das könnte die Last eventuell tragen und wäre auch performant genug für
solche Aufgaben.
Hi istike2,
vergiss so was mit dem ALIX einfach, der Prozessor zu langsam, zu wenig Speicher, etc..
Ist für to-Home ne nette kleine Firewall, aber wenn Du Dein Vorhaben ordentlich umsetzen willst, musst Du schon "schwerere Geschütze" auffahren.
Da kann ich @108012 nur Recht geben.
vergiss so was mit dem ALIX einfach, der Prozessor zu langsam, zu wenig Speicher, etc..
Ist für to-Home ne nette kleine Firewall, aber wenn Du Dein Vorhaben ordentlich umsetzen willst, musst Du schon "schwerere Geschütze" auffahren.
Da kann ich @108012 nur Recht geben.
Das hört sich gut an und kann unter Umständen auch
funktionieren nur die Performance des kleinen
Alix Boards ist alleine für pfSense zusammen
mit Squid schon eine "harte Nummer" aber dann
noch den HAVP drauf zu packen und nach Viren
zu scannen würde ich tunlichst nicht machen wollen
da mir das wohl etwas zu langsam wird.
Gruß orcapefunktionieren nur die Performance des kleinen
Alix Boards ist alleine für pfSense zusammen
mit Squid schon eine "harte Nummer" aber dann
noch den HAVP drauf zu packen und nach Viren
zu scannen würde ich tunlichst nicht machen wollen
da mir das wohl etwas zu langsam wird.
Moin!
Ob das prinzipiell auf dem Alix halbwegs performant laufen kann, weiss ich nicht zu beurteilen, grundsätzlich sollte aber die Installation gehen.
Ein paar Sachen, die mir einfallen:
- Ohne Squid brauchst du auch kein Squidguard. Solltest du noch deinstallieren.
- Der HAVP wird nur ans LAN gebunden, nicht ans WAN Interface.
- Scan max. Filesize auf 300k - 500k auf schwachen Systemen.
- Scan Media Stream auf off setzen.
All das greift aber natürlich erst, wenns läuft.
PfSense hat gerade in der Embedded Version noch massive Probleme mit der Integration der Packages, mindestens mit HAVP...
Wenn sich Squid nicht mehr sauber deinstallieren lässt, bleibt dir wenig, als die PfSense neu aufzusetzen. (Du hast doch hoffentlich eine gesicherte Config, bevor Du mit Squid und HAVP experimentiert hast?)
Dann mal nur HAVP installieren, sehen obs klappt.
Wenn du in Linux / FreeBSD fit genug bist, kannst du dann bei fehlenden Schreibrechten über die Konsole die Rechte anpassen, wenn er noch motzt
Es gibt jetzt auch irgendwo in der GUI die Möglichkeit, das gesamte Filesystem temporär mit R/W zu mounten. (Habe grade keine Embedded da)
Oder gleich etwas stärkere Hardware nehmen, wie meine Vorredner empfehlen.
Als Bastellösung kann ich den FSC Futro S400 empfehlen. Der kann bis 1 GB Speicher, hat nen PCI Steckplatz braucht wenig Strom und ist günstig zu bekommen.
Habe den S300 mit nem Hitachi Microdrive 4 GB und ner Standardinstallation von PfSense am laufen. Rennt mit 512 MB, Squid und HAVP prima.
Gruß
Der Buc
Ob das prinzipiell auf dem Alix halbwegs performant laufen kann, weiss ich nicht zu beurteilen, grundsätzlich sollte aber die Installation gehen.
Ein paar Sachen, die mir einfallen:
- Ohne Squid brauchst du auch kein Squidguard. Solltest du noch deinstallieren.
- Der HAVP wird nur ans LAN gebunden, nicht ans WAN Interface.
- Scan max. Filesize auf 300k - 500k auf schwachen Systemen.
- Scan Media Stream auf off setzen.
All das greift aber natürlich erst, wenns läuft.
PfSense hat gerade in der Embedded Version noch massive Probleme mit der Integration der Packages, mindestens mit HAVP...
Wenn sich Squid nicht mehr sauber deinstallieren lässt, bleibt dir wenig, als die PfSense neu aufzusetzen. (Du hast doch hoffentlich eine gesicherte Config, bevor Du mit Squid und HAVP experimentiert hast?)
Dann mal nur HAVP installieren, sehen obs klappt.
Wenn du in Linux / FreeBSD fit genug bist, kannst du dann bei fehlenden Schreibrechten über die Konsole die Rechte anpassen, wenn er noch motzt
Es gibt jetzt auch irgendwo in der GUI die Möglichkeit, das gesamte Filesystem temporär mit R/W zu mounten. (Habe grade keine Embedded da)
Oder gleich etwas stärkere Hardware nehmen, wie meine Vorredner empfehlen.
Als Bastellösung kann ich den FSC Futro S400 empfehlen. Der kann bis 1 GB Speicher, hat nen PCI Steckplatz braucht wenig Strom und ist günstig zu bekommen.
Habe den S300 mit nem Hitachi Microdrive 4 GB und ner Standardinstallation von PfSense am laufen. Rennt mit 512 MB, Squid und HAVP prima.
Gruß
Der Buc
@the-buccaneer
Du versuchst Doch auch nicht aus einem Pentium I einen Zocker-PC zu machen...
Gruß orcape
Ob das prinzipiell auf dem Alix halbwegs performant laufen kann, weiss ich nicht zu beurteilen, grundsätzlich sollte aber
die Installation gehen.
Ne, lass mal, das klemmt schon bei der Installation.die Installation gehen.
Du versuchst Doch auch nicht aus einem Pentium I einen Zocker-PC zu machen...
Gruß orcape
Hi istike2,
Es sei denn, Du nimmst dieses hier.....
http://www.alix-board.de/produkte/apu1c.html
Gruß orcape
Es sei denn, Du nimmst dieses hier.....
http://www.alix-board.de/produkte/apu1c.html
Gruß orcape
Danke für die Feedbacks.
Ich muss dann den Board offensichtlich tauchen.
Gr. I.
Ich muss dann den Board offensichtlich tauchen.
Gr. I.
Zitat von @orcape:
@the-buccaneer
> Ob das prinzipiell auf dem Alix halbwegs performant laufen kann, weiss ich nicht zu beurteilen, grundsätzlich sollte
@the-buccaneer
> Ob das prinzipiell auf dem Alix halbwegs performant laufen kann, weiss ich nicht zu beurteilen, grundsätzlich sollte
aber die Installation gehen.
Ne, lass mal, das klemmt schon bei der Installation.
Hätt ich ein Alix-Board tät ich das doch glatt mal mit der 1.2.3 versuchen. Da sehe ich noch echte Erfolgsaussichten. Der Geode scheint aber wirklich noch lahmer als der Transmeta Crusoe zu sein...
Du versuchst Doch auch nicht aus einem Pentium I einen Zocker-PC zu machen...
Och, da gabs auch schon nette Spiele, wir waren in Farbe im Internet und es gab noch Treiber unter 100 MB
Ich gebe aber auch zu, dass ich einer Kundin heute das Downgrade auf Brieftauben empfohlen habe, als sie mich nach einem guten Mobilfunkanbieter fragte...
Das neue Board klingt ja ganz vielversprechend, ist aber leider auch nur halbgar, was die Realtek NIC's und den fehlenden Crypto-Chip für IP-Sec angeht. Schade...
Gruß orcape
Auch Gruß
Buck
Hallo nochmal,
werden sind die Leute auch wieder nicht zufrieden denn dann gibt es das
Board nicht für 149,00 € zu kaufen, das muss nur jedem erst einmal
klar werden, allerdings teile ich Deine Meinung und bei drei Ports hätte
man schon einen Intel Switch Chip und Intel LAN Ports nehmen können
die dann den Preis auf ~200 € treiben würden, aber das sollte auch nicht
so wild sein, denn dann stimmt eben alles.
Hier ist mal ein anderes Board auch mit 512 MB bis zu 2 GB RAM on Board
und Intel Chips sowie auch Intel LAN Ports, nur eben nicht mehr für 149 €.
Soekirs net6501 und für zusätzliche und auch performante LAN Ports
ist auch gesorgt worden. Soerkis LAN1841
macht ja schon so ziemlich jeder Privatanwender heute zu Hause.
Nicht zuletzt der immer schneller ansteigenden Geschwindigkeit
bei den Internetzugängen wäre das natürlich schon schick wenn die
CPU entlastet.
Aber bei der aktuellen CPU im Alix APU Board sollte der Durchsatz
schon recht gut sein auch ohne VPN Karte und die CPU soll auch
noch einmal gewechselt werden seitens PC Engines also ist da auch
noch einmal Platz nach oben.
Bei den alten Alix Boards zusammen mit pfSense kann man diese
kleine VPN Karte hier benutzen die ist auch in Deutschland erhältlich
und steigert den Durchsatz von ~14 MBit/s auf fast das dreifache so
um die ~42 MBit/s was sich bei jeder Internetverbindung rechnet
Soekirs VPN1411
Aber ok ich würde sagen ich würde mich freuen wenn Soekirs noch
so eine kleine Karte auf den Markt bringen würde nur eben im miniPCIe
Format.
Gruß
Dobby
Das neue Board klingt ja ganz vielversprechend, ist aber leider auch nur halbgar,
was die Realtek NIC's
Naja dem kann man auch abhelfen, nur wenn dort Intel LAN Ports verbautwas die Realtek NIC's
werden sind die Leute auch wieder nicht zufrieden denn dann gibt es das
Board nicht für 149,00 € zu kaufen, das muss nur jedem erst einmal
klar werden, allerdings teile ich Deine Meinung und bei drei Ports hätte
man schon einen Intel Switch Chip und Intel LAN Ports nehmen können
die dann den Preis auf ~200 € treiben würden, aber das sollte auch nicht
so wild sein, denn dann stimmt eben alles.
Hier ist mal ein anderes Board auch mit 512 MB bis zu 2 GB RAM on Board
und Intel Chips sowie auch Intel LAN Ports, nur eben nicht mehr für 149 €.
Soekirs net6501 und für zusätzliche und auch performante LAN Ports
ist auch gesorgt worden. Soerkis LAN1841
und den fehlenden Crypto-Chip für IP-Sec angeht. Schade...
Ja das wird immer wichtiger wenn man VPN betreibt und dasmacht ja schon so ziemlich jeder Privatanwender heute zu Hause.
Nicht zuletzt der immer schneller ansteigenden Geschwindigkeit
bei den Internetzugängen wäre das natürlich schon schick wenn die
CPU entlastet.
Aber bei der aktuellen CPU im Alix APU Board sollte der Durchsatz
schon recht gut sein auch ohne VPN Karte und die CPU soll auch
noch einmal gewechselt werden seitens PC Engines also ist da auch
noch einmal Platz nach oben.
Bei den alten Alix Boards zusammen mit pfSense kann man diese
kleine VPN Karte hier benutzen die ist auch in Deutschland erhältlich
und steigert den Durchsatz von ~14 MBit/s auf fast das dreifache so
um die ~42 MBit/s was sich bei jeder Internetverbindung rechnet
Soekirs VPN1411
Aber ok ich würde sagen ich würde mich freuen wenn Soekirs noch
so eine kleine Karte auf den Markt bringen würde nur eben im miniPCIe
Format.
Gruß
Dobby