» squid-havp-clamav пропускают 2 тестовых вируса

FreeBSD 6.2
havp + clamav великолепно отрабатывают на тестовых вирусах. (с EICAR ловят 4 штуки по http)
прикрутил squid - 2 из 4-х перестали определяться. com и txt.

squid.conf (squid 2.5)
-------------
Код:
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
acl apache rep_header Server ^Apache
cache_mem 64 MB
maximum_object_size 64000 KB
cache_dir ufs /usr/local/squid/cache 20480 64 256
access_log /usr/local/squid/logs/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 7772
acl CONNECT method CONNECT
acl Deny_All url_regex "/usr/local/etc/squid/banners"
acl baddy1 url_regex "/usr/local/etc/squid/baddy1"
acl access1 src "/usr/local/etc/squid/access1"
acl baddy2 url_regex "/usr/local/etc/squid/baddy2"
acl access2 src "/usr/local/etc/squid/access2"
acl sys url_regex "/usr/local/etc/squid/sys"
acl accesssys src "/usr/local/etc/squid/accesssys"
acl MainOffice src "/usr/local/etc/squid/MainOffice.acl"
acl good_sites url_regex "/usr/local/etc/squid/good.acl"
acl goodssl url_regex "/usr/local/etc/squid/goodssl.acl"
acl bad_users src "/usr/local/etc/squid/bad_users.acl"
cache_peer 127.0.0.1 parent 8008 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports !goodssl
http_access deny to_localhost !localhost
http_access deny Deny_All
http_access deny baddy1 !access1
http_access deny baddy2 !access2
http_access deny sys !accesssys
http_access allow MainOffice
http_access allow good_sites
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
error_directory /usr/local/etc/squid/errors/Russian-koi8-r
coredump_dir /usr/local/squid/cache
----------------




Где я сделал ошибку?
havp слушает порт 8008.
havp.conf
-------
Код:
USER havp
GROUP havp
DAEMON true
PIDFILE /var/run/havp/havp.pid
SERVERNUMBER 8
MAXSERVERS 100
ACCESSLOG /var/log/havp/access.log
ERRORLOG /var/log/havp/havp.log
LOG_OKS false
LOGLEVEL 0
SCANTEMPFILE /var/tmp/havp/havp-XXXXXX
TEMPDIR /var/tmp
DBRELOAD 60
FORWARDED_IP false
PORT 8008
BIND_ADDRESS 127.0.0.1
SOURCE_ADDRESS 10.146.10.92
TEMPLATEPATH /usr/local/etc/havp/templates/ru
WHITELISTFIRST true
WHITELIST /usr/local/etc/havp/whitelist
BLACKLIST /usr/local/etc/havp/blacklist
SCANIMAGES false
KEEPBACKBUFFER 600000
KEEPBACKTIME 5
TRICKLING 30
ENABLECLAMLIB true
CLAMDBDIR /var/db/clamav
CLAMBLOCKENCRYPTED true
CLAMMAXFILES 1000
CLAMMAXFILESIZE 10
CLAMMAXRECURSION 8
CLAMMAXRATIO 250
ENABLECLAMD true
CLAMDSOCKET /usr/local/sbin/clamd
CLAMDSERVER 127.0.0.1
CLAMDPORT 3310
ENABLEFPROT false
ENABLEAVG false
ENABLEAVESERVER false
ENABLESOPHIE false
ENABLETROPHIE false
ENABLENOD32 false
ENABLEAVAST false
ENABLEARCAVIR false
-------------

Странно, но получил тот же самый результат на RedHat 9.0. (Squid+SquidGuard+Havp+Nod32 for Linux). Хотелось бы понять в чем грабли.

Какие-нибудь дополнительные записи в логах?

PolarBear
При открытии архива с eicar - запись об обнаруженном вирусе. При открытии файла .txt и .com - тишина в логах.


Цитата:

06/11/2007 18:44:55 192.168.0.111 GET 200 http://www.eicar.org/download/eicarcom2.zip 401+308 VIRUS NOD32: Eicar test file
06/11/2007 18:46:55 192.168.0.111 GET 200 http://www.eicar.org/download/eicarcom2.zip 401+308 VIRUS NOD32: Eicar test file

такая же проблема, не видит даже тестовый *.com фаилик...

Добавлено:
хотя те же файлы в архивах читает
и походу не пропускает Cgi

Добавлено:
странно, но только что обнаружил, что так только на Firefox`e на IE8 -честно палим вирусню в любых ее видах...
в обоих случаях прокси-сервер указан принудительно...


Добавлено:
проверил на другой машине, вот результат:
если у компьютера имеется доступ к интернету, через нат то несмотря на все настройки и принудительное указание прокси , "тестовая вирусня" в виде ком и текста проходит...
если же нат отрубить полностью, то вирусня детектится и фильтруется havp`ом ...
т.е. получается, что firefox пытается загрузить что-то в обход прокси...

прикольная фича а-ля "самый безопасный" браузер...
как проснусь отпишу на оф.форуме... может уже в курсе бяки... если это конечно не фича )))

Добавлено:
проверил на другой машине, вот результат:
если у компьютера имеется доступ к интернету, через нат то несмотря на все настройки и принудительное указание прокси , "тестовая вирусня" в виде ком и текста проходит...
если же нат отрубить полностью, то вирусня детектится и фильтруется havp`ом ...
т.е. получается, что firefox пытается загрузить что-то в обход прокси...

прикольная фича а-ля "самый безопасный" браузер...
как проснусь отпишу на оф.форуме... может уже в курсе бяки... если это конечно не фича )))

мда опростоволосился....
проблема крылась в кеше...
вот как все было:
1 по народному совету с офсайта загрузил "чистую портабельную сброку" firefox`a и выяснил, что она работает исправно!!!
начал сравнивать свою сборку с этой портабельной
после всех изменений чистил кеш!
начал проверять все плагины тоже нулевой результат... (отключал их, очищал кеш, перезапускал FF)
начал проверять все настройки... вот тут то и выяснил, что в "портабельной" сборке кеш равен 0
а в моей почти 200 метров...
стоило поставить в нуль все заработало как часы...
до этого я очищал кеш! т.е. проблема видимо в очистки кеша браузером... (а может 200 метров это для него жирно)...

хотя все равно непонятно как это влияло на работу с натом!
ведь если нат отключался проблема-то исчезала?!