> Ну и общие вопросы - кто как формирует правила фаервола на серверах,

ручками

> бэстпрактикс?

изучить документацию iptables и ip(route/rule/tc/итп)

> Насколько оправданно использование ipkungfu на серверах?

в первый раз о нём слышу.
см. пункт 2, тогда не будут возникать вопросы что? зачем? почему? и какого ничего не работает?

Для успокоения души, хотелось бы поднять скорость до 4-5 мб/сек.

С гиперв вообще всё плохо

>[оверквотинг удален]
> Стоит вот этот релиз.
> Для FreeBSD на виртуалке выделено 5 гб. оперативки и 4 процессора. Я
> не уверен что используются все ресурсы, так как не знаю как
> это проверить.
> Второй шлюз стоит на машине с i7 и 8 гб. оперативки.
> Я пробовал настраивать туннель с шифрованием, без, с gif интерфейсом и без
> него, но скорость все-равно больше не становится.
> На всякий случай скажу, к виртуалке у меня подключено 2 устаревших сетевых
> адаптера.
> Заранее благодарю!

> Просканировав nmap'ом их, увидел, что у них открыты странные порты. У Linksys'ов
> открыт порт 10000/tcp, а у D-Link'а открыт 8888/tcp.

С 10000-ым портом разобрался, это lighttpd

10000/tcp open  http    lighttpd 1.4.34

А что за фрукт 8888 не могу понять.

>[оверквотинг удален]
> # Создание основного CA сертификации
> openssl dhparam -out /etc/openvpn/keys/dh2048.pem 2048
> openssl req -days 7000 -nodes -new -newkey rsa:4096 -x509 -keyout ca.key -out
> ca.crt
> # Генерация СА1
> openssl req -nodes -new -newkey rsa:3072 -keyout /etc/openvpn/keys/Test1/ca.key -out
> /etc/openvpn/keys/Test1/ca.csr -config /root/Scripts/ssl/openssl.cnf -batch
> openssl ca -days 3650 -out /etc/openvpn/keys/Test1/ca.crt -in /etc/openvpn/keys/Test1/ca.csr
> -extensions v3_ca -config /root/Scripts/ssl/openssl.cnf -batch
> cat /etc/openvpn/keys/ca.crt>>/etc/openvpn/keys/Test1/ca.crt

а если для генерации для User1 использовать только Test1/ca.crt, а не объединенный с keys/ca.crt, а объединенный использовать только для проверки в OpenVPN?

> Далее копируем по scp Test1/ca.key,Test1/ca.csr, Test1/ca.crt на сервер клиента1, там
> стандартными средствами от OpenVPN создаем ключ сервера (ServerOVPN1) и клиента User1
> Аналогично поступаем с CA2, ServerOVPN2, User2
> openssl.cnf взят из OpenVPN, только дополнен несколькими переменными для автоматической
> генерации из скриптов.
> Что я делаю не так? Может какие параметры надо дописать в openssl.cnf
> на СА0?

> Что я делаю не так?

Вся схема неправильная.

>Задача: Аццкий криптоанализ

Дано:

Лицензии на работу системы в виде таблицы "интервал-разрешающий хеш".

2011=203ef1df167cebe475bc790c1e6de2a7
2012=fc5cd3fe336a8718c890511315aa55d0
2013=3a4a5dd6243c59d20f8847f34d094002
2014=e98b8de9024d935e88cc3685ed413900

и так далее.

Хеш должен строиться с использованием функции:

R = F(year,K1,K2,....)

year  - год
Kх    - параметры, выбираемые произвольным или непроизвольным образом
R     - результат для использования в построении "разрешающего хеша".

Соответственно "система", используя year и зашитые в ней компоненты Kх, сможет проверить "лицензию".

При этом функция должна обеспечивать следующее:

1) Должны существовать либо ложная функция F' либо "ложные" параметры Кx' для функции F,вычисляемые исходя из year', year'', при использовании которых для всех year' < year < year'' вычисленное значение R совпадает c вычисленным функцией F(year,K1,K2,...), а для year вне этого интервала значения должны различаться.

2) Функции не должны использовать условий для определения порогов year' year'' выдачи корректных/некорректных значений.
2.1)   Если имеется ложная функция F', то функция F может использовать условия для проверки порогов  year' year''

3) Функции не должны содержать таблиц, значения из которых берутся/формируются по ключу year.

Т.е. должно быть можно "безопасно" открыть код генератора "лицензий", предоставив компоненты для получения "лицензий" только на определенный интервал year.

Я так понимаю, что в основе построения хеша должна лежать функция, выдающая цепочку значений, причем для любой части этой цепочки должны вычисляться новые параметры функции, такие, чтобы функция выдала эту же часть цепочки как часть другой цепи значений.

Задача - найти такую функцию/алгоритм построения "лицензий".

> Дано:
> 1-й файл, контрольная сумма: 0x30A83700, размер: 588800
> 2-й файл, контрольная сумма: 0x27D65500, размер: 70983868
> 3-й файл, контрольная сумма: 0xC072BC00, размер: 3560767488
> Найти: Алгоритм расчёта контрольной суммы. :D
> ---
> Для второго файла, CRC32 и Adler не канают.
> Adler32: 0x5b53aaa9
> CRC32:   0xc78df808

файлов маловато))

Хэш функции по ГОСТ?

Поправочка Freenibs => FreeRadius. Я сделал описку.

> когда добавил группу как запрещенную в пользователя в /etc/ssh/sshd_config

чего сделал?

> Подскажите, имеем Ubuntu 14.04.
> На ней установлен sshd и vsftpd. Все ставилось через apt-get instal...
> Так вот, когда добавил группу как запрещенную в пользователя в /etc/ssh/sshd_config
> то доступ на ftp пропал.
> Как сделать, чтобы пользователи ходили только по ftp или sftp?

проще всего отобрать шелл у пользователя в /etc/passwd
Замените значение /bin/bash (или какой у вас шелл) на /sbin/nologin например

> Так вот, когда добавил группу как запрещенную в пользователя в /etc/ssh/sshd_config
> то доступ на ftp пропал.

А надо ж было отнять у пользователя группу, разрешающую ssh. Если настроено, как в el6 (см.ниже).

ftp может пропасть по куче причин. Например, права на /ftp (cd не может сделать под пользователем), shell в /dev/false (говорят, мешает). Наверняка есть много других причин...

> Как сделать, чтобы пользователи ходили только по ftp или sftp?

На el6 по ssh пускают только пользователей из группы sshd вот так:

# grep AllowGroups /etc/ssh/sshd_config
AllowGroups sshd

В vsftpd, Судя по интернетам (google://vsftpd users allowed), то же делается списком пользователей в файле и userlist_enable=YES и ко.

После изменения как одного (добавления/уделения группы у пользователя), так и другого (редактирования файла) может понадобиться перезапуск соотв.службы, и запущенные, но не завершённые сессии могут быть не прерваны.

---
Возможно, для vsftpd есть вариант настройки с группой - через права на конень /ftp.
freelinuxtutorials.com/tutorials/setting-up-ftp-server-via-vsftpd/

>[оверквотинг удален]
> 1404181637.086      1 192.168.0.77 NONE/417 4816 POST http://monolit.unitedbakers.ru/xDataLink/xDataLink.asmx
> - NONE/- text/html
> 1404181638.040      4 192.168.0.77 NONE/417 4816 POST http://monolit.unitedbakers.ru/xDataLink/xDataLink.asmx
> - NONE/- text/html
> 1404181638.907      4 192.168.0.77 NONE/417 4816 POST http://monolit.unitedbakers.ru/xDataLink/xDataLink.asmx
> - NONE/- text/html
> 1404181639.686      2 192.168.0.77 NONE/417 4814 POST http://monolit.unitedbakers.ru/xDataLink/xDataLink.asmx
> - NONE/- text/html
> может дадите ссылку где почитать про логирование iptables, может там настройки какие
> надо для этого

добавить в squid.conf
ignore_expect_100 on

> Задача: просканировать компьютеры(Windows 7) и дать заключение(или выявить) что там нет
> никаких червей, руткитов, шпионов, программных закладок, вирусов и т.д. и т.п.
> Обычного DrWeb CureIT и утилиты от Касперского недостаточно, чем ещё можно проверить?

Лучше проверять полноценной версией продуктов DrWeb, Kaspersky. AVZ отличная утилита, но полную гарантию безопасности может дать только страховой полюс.  

> Задача: просканировать компьютеры(Windows 7) и дать заключение(или выявить) что там нет
> никаких червей, руткитов, шпионов, программных закладок, вирусов и т.д. и т.п.
> Обычного DrWeb CureIT и утилиты от Касперского недостаточно, чем ещё можно проверить?
> Какое программное обеспечение существует для гарантирования отсутствия вредоносного
> ПО?
> Прошу прощения за косноязычность.

как минимум ещё вот этим пройтись стоит:http://www.microsoft.com/en-us/download/details.aspx?id=7558

> Доброе время суток!

Да. http://wiki.strongswan.org/projects/strongswan/wiki/IOS_(Apple)

> Есть ли пример по созданию ключей или сертификатов с помощью crypto  
> иль pki?

https://github.com/strongswan/strongswan

раздел 3.1

Еще такая информация запустил я pf  в режиме отладки и в логе messages стали сыпаться сообщения:
pf_map_addr: selected address 185.88.288.22
где 185.88.288.22 ip адрес внешней сетевой карты
pf: NAT proxy port allocation (50001-65535) failed
Ничего по этим сообщения в интернете я не нашел подскажите что это.

> Собственно, почитал вот это http://www.opennet.dev/docs/RUS/iptables/#HOWARULEISBUILT
> и много другого, но толком ничего не понял.
> Стоит задача:
> 1)настроить шлюз на debian
> 2)настроить проброс портов для всяких внешних приложений
> 3)настроить маршрутизацию внутри сети (если это нужно, потому как я не догоняю,
> как шлюз будет и будет ли вообще (все компы и точки
> доступа в локале подключены через тупой свитч)  пересылать пакеты от
> одного локального клиента другому локальному клиенту)

в таблице маршрутизации есть маршрут для локальной подсети согласно которому клиенты будут обмениваться пакетами на прямую, даже если прописан шлюз

>[оверквотинг удален]
> только готовые правила отсюда http://howitmake.ru/blog/ubuntu/86.html
> раскомментил строку net.ipv4.ip_forward=1 в файле /etc/sysctl.conf
> iptables -F
> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> iptables -A FORWARD -i eth0 -o eth0 -j REJECT
> iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
> с этими настройками интернет заработал на одном ноутбуке подключенном через точку доступа->свитч->шлюз,
> кучу других в интернет не пустило, большинство подключены к свитчу
> настройки iptables загружаю через строку в /etc/network/interfaces # iptables-restore
> > /etc/iptables-save

это не загрузка ,а перенаправление вывода iptables-restore в файл /etc/iptables-save

> есть примерные наборы правил, но в каком порядке  их писать и
> будут ли они работать как надо, и где ошибка, не могу
> сейчас разобраться
> подскажите, пожалуйста, какие правила написаны не правильно, и где бы почитать мануал
> попроще чем по ссылке в начале

там и так просто и понятно для понимающих как работает сеть, после первого прочтения может получится каша в голове, но как только начинаете сами писать правила все проясняется.

> # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> это правило подменяет адрес пакетам из локальной сети?

да
> для обратных пакетов нужно ли что либо еще?

автоматом, в мануале сказано
> #iptables -A FORWARD -i eth0 -o eth0 -j REJECT
> это правило для маршрутизации пакетов в локалке, без интернета?

блокирует с уведомлением пакеты которые пришли и должны были уйти через eth0
> # iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
> вот это правило вообще не понимаю

при проблемах с mtu, если проблем нет то не нужно его вставлять, ну и логичней было бы -A, а не -I
> хочу добавить проброс портов правилом
> iptables -t nat -A PREROUTING -d "внешний ip" -p tcp -m tcp
> --dport "внешний порт" -j DNAT --to-destination "локальный компьютер":"внутренний порт"
> заработает ли оно и куда ставить все эти пробросы портов?

да если в таблице фильтров разрешено прохождение для этих пакетов и для ответов
> # правила для прокси, вроде бы перенаправляют, раз один компьютер сайты открывал
> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j
> DNAT --to "ipпрокси_и_шлюза":3128

да
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
> REDIRECT --to-port 3128

заварачивать на прокси то что пришло с инета опасно
> будет ли их достаточно для открывания страничек в том числе по https?

https будет идти через  MASQUERADE

> #для ssh, достаточно ли этого правила для подключения с обеих сторон от
> шлюза?
> iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

есть политики по умолчанию, если они в ACCEPT, то не имеет значения, а так да разрешит обращения через все сетевые интерфейсы

> я понимаю, что никто не обязан мне помогать или что нибудь объяснять,
> буду благодарен за любую помощь, ссылки, объяснения, критику и прочее.

>что будет если

Хорошая задача!! Предлагаю Научный Метод Тыка.
Обязательно проверь _все флаги fcntl() и все их сочетания.

> Необходимо настроить доступ в интернет только на "белые" сайты.
> Есть рабочая станция с linux mint.
> Ставим на ней squid, настраиваем, в браузере прописываем прокси.
> Теперь доступ только на "белые" сайты.
> Но если пользователь в браузере уберет прокси?
> Если закрыть 80-й порт
> iptables -A OUTPUT -p TCP --dport 80 -j DROP
> то даже через прокси в инет не выйдешь...
> Возможно ли разрешить 80-й порт только для squid-а?

Можно использовать owner в iptables.
1. Прокси сделать прозрачным, например на порту 3128.
2. Весь трафик, идущий на 80 порт редиректить в порт прокси 3128.
3. Прокси должен работать от своего какого-нибудь имени
4. В iptables разрешить выход на 80 порт только для пользователя, от которого работает прокси.

чего-нить типа такого:
iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner squid -j ACCEPT

Вам нужно это: http://www.opennet.dev/docs/HOWTO-RU/mini/TransparentProxy.html

> Необходимо настроить доступ в интернет только на "белые" сайты.
> Есть рабочая станция с linux mint.
> Ставим на ней squid, настраиваем, в браузере прописываем прокси.
> Теперь доступ только на "белые" сайты.
> Но если пользователь в браузере уберет прокси?
> Если закрыть 80-й порт
> iptables -A OUTPUT -p TCP --dport 80 -j DROP
> то даже через прокси в инет не выйдешь...
> Возможно ли разрешить 80-й порт только для squid-а?

Сама машина и выступает в качестве шлюза?

Если локальная сеть, в которой компьютер 192.168.1.0/24,

IPT="/sbin/iptables"
IF_INT="eth1"

$IPT -t nat -A PREROUTING -i $IF_INT -p tcp ! -d 192.168.1.0/24 --dport 80   -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $IF_INT -p tcp ! -d 192.168.1.0/24 --dport 8080 -j REDIRECT --to-port 3128

> Необходимо настроить доступ в интернет только на "белые" сайты.
> Есть рабочая станция с linux mint.
> Ставим на ней squid, настраиваем, в браузере прописываем прокси.
> Теперь доступ только на "белые" сайты.
> Но если пользователь в браузере уберет прокси?
> Если закрыть 80-й порт
> iptables -A OUTPUT -p TCP --dport 80 -j DROP
> то даже через прокси в инет не выйдешь...
> Возможно ли разрешить 80-й порт только для squid-а?

Запрещаешь на роутере FORWARD 80 порта.

>так как работать в линуксе стал не так давно

а вопросы задавать _правильно_ в вашей школе не учат?

во первых как tcpdump запускаем ???
у него свой формат, но это не логи а полный захват траффика.

если запустить так tcpdump -pn -i eth0 > lol.log 2>&1
будет "лог", там никакой кодировки не надо, будет стандартная utf-8

если запустить так  tcpdump -pn -i eth0 -w lol.cap
это будет "запись" всех пакетов с их содержимым, чтоб это посмотреть нужен например WIRESHARK а не gedit.

можно самим tcpdump прочитать записанные пакеты  tcpdump -r lol.cap

man man
man cat
man tcpdump

и серьёзно, не стоит постить на данном сайте скрины с вантуза.
в линухе даже в виртуалке, даже на спионеренном рэд-хате, даже сидя под рутом в иксах (а это само по себе FACEPALM) можно сделать родные скрины.

>i=0
>for i in "${badsite[@]}"
>do
>/sbin/iptables -A FORWARD -s $i -j DROP
>done
>for i in "${goodip[@]}"
>do

от вашего рукоблудия хочется блевать. честное слово
осильте IPSET
осильте как правильно делать нат/маскарад. (у вас там даже "орфографические" ошибки есть - POST_P_OUTING, sour_S_e итп)
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o $wan_if -j SNAT --to-source $WAN_IP

ессно у вас при таком раскладе нефига работать не будет, курить -m state или -m conntrack --ctstate
пример чтоб разрешить выход только на "хорошие порты" с локальной сетки:
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP
iptables -A FORWARD -i $wan_if -o $lan_if -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport –-dports 80,53,25,110,5190,443 -m conntrack --ctstate NEW -j ACCEPT

короче курите lartc.org до посинения.

вы так и не поменяли драгдиллера?

> Правилом выше, не получилось, подскажите куда копнуть  или как правильно

Одного правила [может быть] мало: iptables как язык программирования - для решения задачи может понадобиться писать несколько правил и учитывать [и настраивать, возможно] другие условия (обычно sysctl~).

> Спасибо

Во-первых, в FORWARD ACCEPT-ить проходящие пакеты. http://wiki.vpsget.com/index.php/Forward_(redirect/nat)_traffic_with_iptables

Во-первых с  половинов, ip_forward=1 включён же уже?

Во-вторых, говорят, conntrack может влиять: http://serverfault.com/questions/421304/iptables-port-forwar...
NAT-ы в netfilter делаются по первому пакету соединеия, остальные идут по _ранее принятому "решению".

В-третьих, это всё для "транзитного" трафика - с ethA на athB, но случай разный может быть. Например, для форварда с eth0 на этот же eth0 нужен ещё POSTROUTING/SNAT, чтобы получатель видел форвардера, как отправителя, и, соответственно, слал обратные пакеты ч-з него, и клиент получал _ответы с форвардера.

Да, все сертификаты нужно заменить на новые.

>[оверквотинг удален]
> 6054
> 18:49:41.637463 IP osc.v-al.ru.chargen > ubuntu.3366: UDP, length 5046
> 18:49:41.638038 IP 95.181.110.203.chargen > ubuntu.3366: UDP, length 2432
> 18:49:41.638184 IP Ip-77-220-80-12.internetone.it.chargen > ubuntu.3366: UDP, length
> 3567
> Важной особенностью есть то, что у всех хостов имеется chargen.
> Пробывал дропать так:
> -A INPUT -m string --string "chargen" --algo kmp --to 65535 -j DROP
> Но, увы, не помогает, всё равно идут входящие пакеты. Что можете порекомендовать
>  ?

chargen -- это имя порта источника, порт - 19
iptables -I INPUT 1 -p udp -s !"не моя сеть" --sport 19 --dport 3366 -j DROP
модифицируйте на свой вкус

На сетевой интерфейс они все равно попадут. Если Вы об этом. Будут блокироваться файрволлом уже ПОСЛЕ прихода на сетевой интерфейс. Или как Вы себе представляете механизм блокировки iptables?

А что у вас на порту 3366?

> такой вопросик, есть желание поднять какой нибуть анализатор на зеркальном порту для
> обнаружения атак и анамалий.
> хотелось бы видеть онлайн статистику тех или иных пакетов. например скажем с
> флагом SYM, количество DNS трафика.
> понятно что tcpdump и парси в удовольствие. но может уже есть какие
> то готовые решения? и не надо изобретать велосипед?
> опция запись прошедшего трафика скажем за последние 10минут тоже не помешала бы.
> для более детального анализа потом.
> может что то, кто то посоветует? лучше free ;)

Можно зарядить snort и mrtg для графиков

> Коллеги, подскажите пожалуйста
> корректна ли блокировка портов 5000:6000?
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP

один диапазон внутри другого , уже
> iptables -A INPUT -p udp -m udp --dport 1000:10000 -j ACCEPT
> iptables -A INPUT -p udp -m udp --dport 5000:6000 -j DROP

такчто
iptables -A INPUT -p udp -m udp --dport 5000:6000 -j DROP
iptables -A INPUT -p udp -m udp --dport 1000:10000 -j ACCEPT
так вернее.
> или же лучше сделать?
> iptables -A INPUT -p udp -m udp --dport 1000:4999 -j ACCEPT
> iptables -A INPUT -p udp -m udp --dport 6001:10000 -j ACCEPT

> ports="(... 22 ...

Да, 22 обязательно оставь, и ssh туда повесь, и рута разреши и пароль 12345678

from <source> port <source> to <dest> port <dest>

Обозначь to <dest>

> Хочу поставить на Linux FreeRadius для аутентификации пользователей по vty линиям на
> Cisco и VPN клиентов. Задача усложняется тем, что необходимо внедрение политики
> паролей в организации. Так чтобы пароли были действительны в течении 90
> дней, а затем пользователь добровольно-принудительно должен сменить пароль. По типу работы
> политики паролей в Active Directory windows.
> Возможно ли это внедрить на FreeRadius?

http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory... не?

В помощь: нужно будет прикрутить протухание паролей, если оно не реализовано в статье ниже(не читал)
http://www.howtoforge.com/authentication-authorization-and-a...

>[оверквотинг удален]
> настроен PPTP сервер - CentOS.
> Вот и задача что делать.
> Тратить деньги на дорогостоящие средства - руководство не желает.
> Вопрос.
> Можно ли настроить OpenVPN с нашими сертификатами?
> Или L2TP сервер?
> Или приобрести ALT Linux, который прошел сертификацию ФСТЭК, можно ли будет на
> этой ОС развернуть VPN сервер и маршрутизатор?
> Вопрос конечно сложный, но может у кого была подобная задача и решение
> к ней?!

можно, все можно, но может сначала озвучите все требования ФСБ к оборудованию и ПО.

> За ранее спасибо за любой ответ!

>[оверквотинг удален]
> Вот и задача что делать.
> Тратить деньги на дорогостоящие средства - руководство не желает.
> Вопрос.
> Можно ли настроить OpenVPN с нашими сертификатами?
> Или L2TP сервер?
> Или приобрести ALT Linux, который прошел сертификацию ФСТЭК, можно ли будет на
> этой ОС развернуть VPN сервер и маршрутизатор?
> Вопрос конечно сложный, но может у кого была подобная задача и решение
> к ней?!
> За ранее спасибо за любой ответ!

Скорее всего нужна не сертифицированная операционка, а средства криптозащиты для передачи данных. OpenVPN их не удовлетворит, нужно сертифицированное СКЗИ.

Если у вас конфиденциальные данные, подпадающие под классификацию по 152ФЗ (если память не изменяет) то вам необходимо обрабатывать эти данные только на оборудовании,операционной системе и передавать данные через криптожелезо ТОЛЬКО с сертификатами ФСТЭК+ФСБ на данный класс.
Если вы по своему желанию шифруете данные в тоннеле - точно не скажу, но думаю, для ФСБ-шников будет достаточно использовать ГОСТ-овское шифрование, но нужно спрашивать у них.

>[оверквотинг удален]
> Вот и задача что делать.
> Тратить деньги на дорогостоящие средства - руководство не желает.
> Вопрос.
> Можно ли настроить OpenVPN с нашими сертификатами?
> Или L2TP сервер?
> Или приобрести ALT Linux, который прошел сертификацию ФСТЭК, можно ли будет на
> этой ОС развернуть VPN сервер и маршрутизатор?
> Вопрос конечно сложный, но может у кого была подобная задача и решение
> к ней?!
> За ранее спасибо за любой ответ!

Попробуйте обратиться к операторам связи, может они вам смогут предоставить защищенный канал, договора с оператором связи о предоставлении защищенного канала не хватит?

1. rpm -qa | grep clam
Находим пакет clamav (полное название).
2. rpm -ql clamav_xxxx
Смотрим - есть ли там freshclam
У меня на центоси:
whereis freshclam
freshclam: /usr/bin/freshclam
rpm -qf /usr/bin/freshclam
clamav-0.98-2.el5.rf

в гугле геть забанили?

в модных федорах пакет звать clamav-update (в нём есть фрэшхлам)