Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Problema HAVP+ClamAV su hardware ALIX... 2 proposte

 
Nuovo argomento   Rispondi    Indice del forum -> Suggerimento nuove funzionalità
Precedente :: Successivo  
Autore Messaggio
picov



Registrato: 16/09/10 09:01
Messaggi: 37

MessaggioInviato: Ven Apr 08, 2011 2:40 pm    Oggetto: Problema HAVP+ClamAV su hardware ALIX... 2 proposte Rispondi citando

Ciao Fulvio,
come da tue indicazioni posto su forum questi suggerimenti.

-----------------------------------------------------------------

E' nota l'impossibilità di disattivare ClamAV mantenendo solo il proxy attivo a causa del modo con cui HAVP è concepito.
Su hardware limitato (tipo ALIX) tuttavia, HAVP+ClamAV non sono praticamente utilizzabili visto che già su una rete piccola (4-8 postazioni) rallentano molto la navigazione ed impallano il sistema dopo poche ore.
La disabilitazione del proxy costringe purtroppo a rinunciare anche alla funzione molto molto utile relativa al filtro degli URL.

Due possibili solzioni potrebbero essere queste:
1) Dare la possibilità di usare un proxy altervativo (leggero) che consenta almeno di filtrare gli URL.
Ho trovato ad es. questo che dovrebbe avere anche pochissime dipendenze per la compilazione:
https://www.banu.com/tinyproxy/

2) Creare un finto ClamAV, da sostituire con quello reale quando si disattiva l'opzione attualmente non accessibile: ClamAV ha un demone clamdscan che si contatta tramite socket locale o porta TCP, oppure ha una libreria libclamav. Credo che HAVP su ZeroShell usi la libreria(?), quindi andrebbe modificata la configurazione in "/tmp/havp.config" per fargli usare la porta TCP ed il finto ClamAV dovrebbe essere un eseguibile che rimanga in ascolto su quella porta e riporti subito la falsa risposta che tutto va bene indipendentemente dal file passato.

C'è qualche volontario in grado di creare questo eseguibile.


-----------------------------------------------------------------

AGGIORNAMENTO 15-5-2011:

Indagando sul problema delle prestazioni ho scoperto che più che la velocità del processore, ciò che determina le basse prestazioni del proxy è la limitata quantità di RAM.
Da test effettuati con la B14 installata su una macchina virtuale VMWare risulta infatti che assegnado a ZS più di 512MB di RAM la velocità di navigazione torna accettabile, mentre assegnando solo i 256MB dell'ALIX il problema emerge (anche riducendo al minimo il valore di MAXSCANSIZE nella conf di HAVP)

Con 1GB di RAM l'attivazione del proxy HAVP+ClamAV (senza scansione immagini e con un solo client LAN) fa passare l'utilizzo della RAM di sistema da 80-90MB fino a punte di circa 290MB!!!
Top
Profilo Invia messaggio privato
picov



Registrato: 16/09/10 09:01
Messaggi: 37

MessaggioInviato: Dom Mag 15, 2011 10:21 pm    Oggetto: Test di tinyproxy Rispondi citando

Ciao Fulvio,
dopo aver identificato nella quantità di RAM a disposizione la causa delle basse prestazioni di HAVP+ClamAV su ALIX mi sono messo alla ricerca di alternative ed ho testato tinyproxy con ottimi risultati (la richiesta di RAM aumenta solo di pochi MB e su ALIX la navigazione è molto veloce).

Un'idea quindi potrebbe essere quella di integrare in ZS anche questo software inserendo un menu a tendina nel modulo proxy che consenta la scelta fra l'opzione "proxy+filtro+antivirus (HAVP+ClamAV)" e "proxy+filtro (tinyproxy)".

Fra l'altro ho notato che le "capturing rules" non sono legate al software proxy utilizzato essendo gestire con e catene di iptables, quindi utilizzando la stessa porta per i 2 proxy le regole verrebbero condivise automaticamente e rimarrebbe da implementare "solo" la parte di gestione di qualche opzione, del file di filtro domini/url, del Daemon Watcher ecc...


Nella speranza di velocizzarti l'eventuale implementazione ti riporto la mia esperienza con la versione tinyproxy 1.8.2 e ZSb14.

--------------------------------------------------------------------

Ho utilizzato gli strumenti di sviluppo forniti per ZS.
Dal sorgente non modificato, la compilazione fallisce a causa di un errore sulle librerie asciidoc. Per risolvere basta escludere questa parte eliminando un po' di righe su Makefile.am, Makefile.in e configure come indicato qui:
https://dev.openwrt.org/browser/packages/net/tinyproxy/patches/010-no-docs-and-tests.patch?rev=19657

Nella configurazione del sorgente è importante sapere che la modalità di proxy trasparente è disabilitata di default, quindi va attivata con l'opzione --enable-transparent.

Io per il test ho usato:
> ./configure --prefix=/Database/opt/1.0/beta14/packages --enable-transparent --with-stathost=tinyproxy.stats

Quel prefix mi è servito per testarlo e per rilasciarlo eventualmente come addon, comunque il software non ha particolari problemi di path essendo un semplice eseguibile, senza librerie, con 2 file di configurazione e qualche files di supporto per personalizzare le pagine di errore/accesso negato ecc.

La compilazione e l'installazione a questo punto vanno a buon fine.

I files di configurazione sono 2:
- /Database/opt/1.0/beta14/packages/etc/tinyproxy.conf
è file di configurazione principale in cui sono necessarie solo alcune modifiche:
User root
Group root
Port 55559 (la stessa del proxy integrato così mettendo tinyproxy come alternativa si condividono le regole di capture)
Syslog On
LogLevel Notice (o inferiore per limitare il logging)
#Allow 127.0.0.1 (va commentato o impostato in base alla LAN altrimenti l'accesso è consentito solo dal localhost)
Filter "/Database/opt/1.0/beta14/packages/etc/filter" (posizione del file con i domini/url da filtrare)
FilterURLs On (di default si filtra a livello di domini letti dal file filter, con questa opzione si possono inserire anche gli url (*) vedi nota per la v 1.8.2 )
FilterExtended On (se abilitato consente di utilizzare anche le regex nel file filter)
#FilterDefaultDeny Yes (a differenza di HAVP il file di filtro è unico è può servire da whitelist o blacklist a seconda di come si imposta questa opzione)


- /Database/opt/1.0/beta14/packages/etc/filter
contiene l'elenco dei domini/url da filtrare (ciascuno su una riga)

(*) la v 1.8.2 ha un bug noto per il quale in modalità trasparente il filtro degli URL NON funziona (sarà risolto con la 1.8.3 ma al limite c'è il patch sul sito di tinyproxy nel branch 1.Cool

--------------------------------------------------------------------
Top
Profilo Invia messaggio privato
cufre



Registrato: 26/02/10 17:14
Messaggi: 141

MessaggioInviato: Sab Ott 20, 2012 8:30 pm    Oggetto: proxy Rispondi citando

Buonasera , per caso sei riuscito ad inserire tinyproxy ?, uso spesso delle ALIX e sarebbe polle poter usare tale funzionalità senza rallentamenti ^__^
Top
Profilo Invia messaggio privato Invia e-mail
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Suggerimento nuove funzionalità Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it