WARNING: Your ClamAV installation is OUTDATED!

Bordi

Hallo

Ich hatte gestern Squid v.0.4.16_2 auf pfSense 2.3.1-RELEASE-p1 (amd64) installiert, und bemerkt das Clamd nicht startet.
Unter Services > Squid Proxy Server > Real Time > freshclam Table fand ich dann auch folgende Nachricht:

ClamAV - freshclam Logs
Message
bytecode.cvd is up to date (version: 277, sigs: 47, f-level: 63, builder: neo)
daily.cld is up to date (version: 21624, sigs: 185254, f-level: 63, builder: bbaker)
main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
DON'T PANIC! Read http://www.clamav.net/documents/upgrading-clamav
WARNING: Local version: 0.99.1 Recommended version: 0.99.2
WARNING: Your ClamAV installation is OUTDATED!
ClamAV update process started at Sat May 28 05:00:00 2016
–------------------------------------
bytecode.cvd is up to date (version: 277, sigs: 47, f-level: 63, builder: neo)
daily.cld is up to date (version: 21624, sigs: 185254, f-level: 63, builder: bbaker)

Nun warten/Däumchen drehen möchte ich eigentlich nicht, aber ein BSD Dev bin ich auch nicht. Bleibt mir also wohl nur die Wahl der Neuinstallation, doch Folge ich diesem link der auf GitHub führt, list sich die Anleitung für FreeBSD, OpenBSD, NetBSD wie folgt:

Use the ports Luke.

waht the hack ..?… :o ..sag mal geht's noch?! ... was'n das für'ne Doc :-\

Ich bin dann irgenwie HIER gelandet, und bin jetzt ziemlich aufgeschmissen da ja dieses Paket auch nicht sooo neu ist, wie ich es bräuchte. Nun hoffe ich das sich unter euch jemand findet der näher am geschehen ist, und mir womöglich helfen könnte.

Grüsse Bordi

BeNe

Hallo Bordi,

das sollte nichts ausmachen und den start von ClamAV auch nicht behindern.
Es handelt sich jede glich um eine Warnung und keinen Fehler.

Nachtfalke

Hallo,

wie bereits beschrieben ist der Hinweis lediglich eine Warnung und hat nichts damit zu tun, dass dein Service nicht startet.
Ich würde dir empfehlen einmal im Syslog zu schauen, was der Grund sein könnte. Weiterhin im "Real Time" Tab des squid proxy servers könnten informationen stehen. Dort die Anzahl der angezeigten Zeilen mal erhöhen.

Weiterhin würde ich dir empfehlen im Reiter "Antivirus" nochmal den "Update AV" durchzuführen. Das wird eine Weile dauern.

Grüße

Bordi

Danke :D , hat sich irgendwie eingehängt. Antivirus rennt jetzt. Allerdings greift er beim EICAR Download nicht, und die Warnung ist auch noch da. Ideen? :-\

Perforado

Was sagen denn die Logfiles?
Tauch den Zugriff auf die Eicar-Signatur überhaupt im Log auf?

Wenn nein:
Transparent Http-Proxy "an" bei "General" ?

Wenn ja:
ClamAV "an" bei "Antivirus"?

Und wenn Du den Wink "Use the Ports Luke" nicht verstehst solltest Du auch keine Pakete unter pfsense installieren :)
Zum Release-Zeitpunkt von 2.3.1 war halt ClamAV 0.99.1 in den Ports. Darum ist das die momentan aktuelle und getestete Version mit pfsense.

Bordi

@Perforado:

Was sagen denn die Logfiles?
Tauch den Zugriff auf die Eicar-Signatur überhaupt im Log auf?

Nein

@Perforado:

Wenn nein:
Transparent Http-Proxy "an" bei "General" ?

Ja

@Perforado:

Wenn ja:
ClamAV "an" bei "Antivirus"?

Ja

:-\

EDIT:// Da auch SquidGuard nicht greift, und von den geöffneten Seiten -die eigentlich geblockt werden müssten- ebenfalls nichts im log zu finden ist, gehe ich immer mehr in der Annahme das womöglich der Proxy falsch konfiguriert ist. Dabei weiss ich jedoch nicht was falsch sein soll. Beim installieren bin ich so gut es ging nach dieser Anleitung gegangen. https://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tutorial
So gut es ging meint dass sich squid 0.4.16_2 & squidGuard 1.14_3 etwas anders darstellen als in der Anleitung, und so die Umsetzung nicht immer ganz einfach ist. Zudem hab ich den Proxy auf WAN laufen da ich alle -LAN + Opt1 + Opt2- mit unterschiedlichen Kriterien über den Proxy laufen lassen will.

Na jedenfalls rödelt das ganz nicht wie es sollte. :(

JeGr

Allerdings greift er beim EICAR Download nicht, und die Warnung ist auch noch da. Ideen? :-\

Da hat a) aber mit b) nichts zu tun. Die Warnung verfolgt einen ständig, immer dann wenn ClamAV gerade mal frisch ne neue Version released hat, hat man die je nach Server/OS einige Wochen lang, bis die neue Version in die Paket Repos tröpfelt und aktualisiert wird. Das hat aber mit der Signaturdatenbank an sich nüscht zu tun und Eicar ist davon auch nicht betroffen, der sollte blind mit beiden Händen hinterm Rücken erkannt werden ;) Da hakts dann irgendwo an anderer Stelle.

Use the ports Luke.

Ein alter StarWars/BSD Gag. Installieren über den Ports Tree. Auspacken, configure, make, make install. Das ist immer das gleiche Lied, deshalb steht da auch keine große Beschreibung dafür drin :) Soll hier aber nicht der Weg sein, den du gehst, das würde ganz andere Baustellen aufmachen.

Gruß

Bordi

Na das nenne ich mal einen Antwort. Meine rede..@JeGr:

..und Eicar ist davon auch nicht betroffen, der sollte blind mit beiden Händen hinterm Rücken erkannt werden ;) Da hakts dann irgendwo an anderer Stelle.

..genau was ich hören wollte. Damit bestätigst du meine Vermutung. Das bringt mich ein ganzes stück weiter. Nur gelöst ist noch lange nichts. Schätze mal dass es dann wohl am proxie liegt? Das mit WAN ein Fehler? ..oder..? :-[

[quote author=JeGr link=topic=112664.msg627521#msg627521 date=1464616688]> Use the ports Luke.

Ein alter StarWars/BSD Gag. Installieren über den Ports Tree. Auspacken, configure, make, make …Super, ::) ;D …wie zum Henker soll man .. ..ja, klar RTFM.. .. naja egal, ..obwohl: Ein Wort von Compiler, Kompilieren o. ähnlich, und ich hätte gewusst was Phase ist. :-X :P ;D

NACHTRAG:// Ich hab zwischenzeitlich folgendes eindeckt. Unter Proxy Server: General Settings / General / Advanced Features / Integrations findet sich dieser Eintag

url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;url_rewrite_bypass off;url_rewrite_children 16 startup=8 idle=4 concurrency=0

Ich erinnere mich nicht diesen Eintrag gemacht zu haben. Allerdings ist einiges von der alte Möhre übergesprungen. Wie auch immer: Wär es möglich dass dieser Eintrag Quell allen Übels ist? Oder suche ich an der komplett falschen stelle?

Perforado

@Bordi:

So gut es ging meint dass sich squid 0.4.16_2 & squidGuard 1.14_3 etwas anders darstellen als in der Anleitung, und so die Umsetzung nicht immer ganz einfach ist. Zudem hab ich den Proxy auf WAN laufen da ich alle -LAN + Opt1 + Opt2- mit unterschiedlichen Kriterien über den Proxy laufen lassen will.

Na jedenfalls rödelt das ganz nicht wie es sollte. :(

Das erklärts irgendwie. Du solltest schon die richtigen Interfaces nehmen wenn du transpartent proxying willst :o

Bordi

Aha! ..ok. :-[ Dann muss ich das anders machen. Möglicherweise gar mein Konzept -und die eingesetzte Hardware- überdenken müssen. :-\ Ziel wäre das LAN, OPT1 & OPT2 nach unterschiedlichen Kriterien durch den Proxy gefiltert, auf das www zugriffen können. Da ich aber nur 3 NIC's habe, hab ich das wie folgt gelöst.

[list]

nic0 = WAN
nic1 = LAN @10.3..
nic2 = opt1_vlan2 @ 172.16..
nic2 = opt2_vlan3 @ 192.168..

Nun stellt sich die Frage wie ich das löse. Die internen Netze sind durch Firewall-regeln -Block subnet- voneinander getrennt, wobei LAN über eine eigene NIC verfügen kann, und NIC2 versorgt OPT1 & OPT2. -> Daher auch meine Idee WAN als Proxy Interface zu nutzen. ::)
Sollte das duo squid / squidguard nicht mit vlan bzw mehreren vlan auf einer nic umgehen können, oder bei aktueller Konfiguration Probleme bereiten wenn ich LAN, OPT1 & OPT2 als Proxy Interface wähle, wäre das Projekt solange gescheitert bis ich eine neue HW mit 4 NIC beschafft habe. Richtig, oder besteht noch Hoffnung?

Nachtfalke

Du kannst squid auf physischen Interfaces laufen lassen oder auf VLANs oder gemischt. Das ist vollkommen egal. Du musst lediglich die Interfaces in pfsense konfigurieren, egal ob mehrere NICs oder VLANs und wenn du das gemacht hast, dann kannst du diese Interfaces in squid auswählen. Mittels STRG-Taste kannst du aus der Liste alle Interfaces auswählen auf denen squid nach Anfragen lauschen soll.

Und squidguard sind die Interfaces quasi auch egal, denn squidguard wertet nur die Daten aus, die vom squid proxy geliefert werden.

Um unterschiedliche Seiten zu blockieren oder zu erlauben mittels squidguard musst du die "GROUP ACLs" nehmen. Denn in den Group ACLs kannst du festlegen, für welche Source-IPs diese Group ACL gelten soll. Es würde sich also anbieten für jedes VLAN (LAN Subnetz) eine eigene Group ACL anzulegen und darin zu konfigurieren, was erllaubt und was geblockt werden soll.
Wenn du dann für jedes VLAN (LAN SUbnetz) eine Group ACL angelegt hast, dann kannst du die "Common ACL" ignorieren, diese greift dann nicht mehr.

Nur mal als allgemeine Info:
In der Common ACL kann man keine "Source" angeben. Diese Common ACL greift also immer bzw. auf allen VLANs, solange diese nicht woanders konfiguriert sind. "Woanders" bedeutet in diesem Fall in einer Group ACL. Es wird also die Source IP zuerst gegen eine Group ACL geprüft und wenn es keine Group ACL gibt, die diese Source-IP abdeckt, dann greift die Common ACL.

Und nochmal:
Egal welche Änderungen durch in squidguard durchgeführt hast, unter "General Settings" zuerst "Save" und dann "Apply" klicken, damit es aktiv wird.

Grüße

Bordi

Hallo Nachtfalke

Vielen dank das ist alles sehr informativ und bestätigt auch. Ein gute stütze, auch mit wegen des erneuten Hinweises bezüglich "Save" und dann "Apply". Auffrischungen schaden nie. ;)

Mein aktuelles status ist jetzt das Squid läuft. Unter Squid / Monitor / Squid Access Table wird so einiges angezeigt. Juhuuu! :) ::)
..und auch die C-ICAP Access Table ist aktiv, nur bin ich mir da nicht sicher ob alles richtig ist. Abgesehen von der Zeit ist der Eintrag ist immer der selbe:

 Date-Time 	Message
03.06.2016 05:02:54 	127.0.0.1 127.0.0.1 RESPMOD squid_clamav 204
03.06.2016 05:02:54 	127.0.0.1 127.0.0.1 REQMOD squid_clamav 200
```:-[
[list]
*   opt2_vlan3 ist sehr langsam (möglicherweise weil Use SafeSearch engine & Do not allow IP-Addresses in URL aktiviert?)
*   opt1_vlan2 bekommt gar keinen Kontakt zum WWW (auch nicht über IP). Ist allerdings -nebst WAN & loop- auch das einziges Interface was NICHT gewählt. -> Erschließt sich mir nicht ganz. Meinen Verständnis nach müsse ich eben deswegen den besten Zugang haben.
*   Für LAN scheint es am besten zu laufen. Wobei für alle gilt das mir scheint als würde SquidGuard nicht greifen.

    *   Clean Advertising -> vergiss es!

    *   blk_BL_adv -> nicht die Bohne.

    *   Antivirus -> http://www.eicar.org/download/eicar.com lässt sich ohne murren und zucken downloaden.

:-\
Tja ich weiss auch nicht… Gibt es irgendwelche Test die ich machen kann damit ich erkenne ob SquidGuard greift? Aufgrund [diese Anleitung](https://nguvu.org/pfsense/pfSense-proxy-configuration/index.html) müsste mir [diese Website](http://singletrackworld.com/) ohne Werbung angezeigt werden. Funktioniert aber nicht, und auch auf [dieser Testseite](http://ads-blocker.com/testing/) wird mit der ganze Müll angezeigt.  :-[

[color=red]**UPDATE://** Heureka! Squid, SquidGuard und ClamAV tun das was sie tun sollen, und erst noch auf allen 3 ports.  ;D ;D ;D

..Zwei kleine Problemchen gibts allerdings doch noch…

**1.** Ich kann mit opt1_vlan2 & opt2_vlan3 seinen wie Google, YouTube, Vimeo und Co nicht aufrufen. Für mic verwunderlich ist dies insbesondere in Bezug zu opt1_vlan2, welches die selben leichten Einschränkungen hat wie LAN (das funktioniert). _Rebwrite, Use SafeSearch engine & Do not allow IP-Addresses in URL_ sind da nicht aktiv.
**2.** Auf opt1_vlan2 & opt2_vlan3 können beim Surfen keine Squid Warnungen angezeigt werden. Dies wahrscheinlich deswegen wie dafür ein zugriff auf die LAN-IP:443 von pfSense notwendig wäre. Diese möchte ich aber nicht frei geben, da ansonsten ein zugriff aufs login-portal möglich wäre.

Welche Möglichkeiten habe ich um dies zu beheben? Wäre es möglich eine ganz bestimmte Seite -https://pfSense-LAN-IP:443/squid_clwarn.php..- von pfSense frei zu geben, so dass das login-portal weiterhin gesperrt bleibt?

Vielen Dank

Grüsse Bordi

Bordi

Nachtrag zum Update von oben.
> 1. Ich kann mit opt1_vlan2 & opt2_vlan3 seinen wie Google, YouTube, Vimeo und Co nicht aufrufen.

Dies gilt für alle HTTPS Seiten. Dabei speilt es keine rolle ob es sich um Google, Toggo, dieses Forum, 18+ Seiten oder Bank handelt. Sie sind alle dicht.

SSL Filtering hab ich nicht aktiviert, und die Group ACL für opt1_vlan2 ist zu der von LAN identisch. Bei LAN ist fix und funktioniert, opt1_vlan2 ist lahm und lässt keine https zugriffe zu. :o :-(

Ich hoffe ihr könnt mir dabei unter die Arme greifen, den mir fehlt da der durchblick. :-[

Nachtfalke

Hallo,

prüfe bitte, dass deine Firewall Regeln auf allen VLANs korrekt sind. Idealerweise würde ich dir empfehlen, du pürfst zuerst auf einem VLAN, dass der Zugriff auf http und https funktioniert. Dann aktivierst du squid und squidguard und prüfst, ob es klappt. Danach stellst du die identische Konfiguration für alle anderen VLANs ein und prüfst, dass es klappt. Danach kannst du dann anfangen den Zugriff auf den verschiedenen VLANs anzupassen, entweder per squid/squidguard oder per Firewall Regeln. Nicht alles auf einmal anpassen, sonst weisst du nicht, was den Fehler verursacht.

Prüfe auch DHCP DNS Einstellungen für jedes VLAN.

Weiterhin solltest du sicherstellen, dass du in SquidGuard sowohl in der "Common ACL" als auch der "Group ACLs" im Bereich "Target Rule Lists" ganz unten in der Liste "Default access" auf "Allow" gesetzt ist.

Im "Redirect Mode" der ACL würde ich empfehlen entweder "int blank page" oder "int blank img" zu wählen.

HINWEIS:
Die SQUID ACCESS TABLE zeigt alle Seiten, die durch squid aufgerufen wurden. Dort musst du schauen, ob wie gewünscht HTTP und HTTPS Seiten aufgerufen werden können.

Die SQUIDGUARD TABLE zeigt alles an, was geblockt wurde.

C-ICAP VIRUS TABLE zeigt dir, was ClamAV / Antivirus geblockt hat. Wenn eicar nicht geblockt wird, squid aber funktioniert, dann löschen im squid den kompletten cache mittels "CLEAR DISK CACHE NOW" in Squid –> Local Cache.

PS:
Und nacheinander probieren/durcharbeiten.

PPS:
Mir persönlich fiel es schwer aus deinem Post heraus zu lesen, was nicht klappt und wo das Problem liegt. Kann an mir liegen, oder aber es ist etwas "wirr" geschrieben ;)

Bordi

Vielen dank.
Das Nochmal alles von vorne durchkämmen hat geholfen. Offensichtlich lag es an den von mir gesetzten Gateways, die ich für LAN, OPT1 & OPT2 gesetzt habe. Weshalb, ist mir allerdings ein Rätzel. Aber auch egal, da ich auch ohne sie gut zurecht komme.

Biss alles so rennt wie ich mir das vorgestellt hatte wird es allerdings noch eine weile dauern. Aus OPT1 & OPT2 lässt sich noch-immer auf https://pfSense/login.php zugreifen (ich kanns schon sperren, jedoch wird damit auch https://pfSense/squid_clwarn.php unzugänglich -> was ich nicht will).. Desweiteren missfällt mir das Viren- & Kinder/Jugend-Schutz auf HTTPS nicht greifen, und es mit SSL Man In the Middle Filtering –> HTTPS/SSL Interception --> Enable nicht getan ist. Doch das ist ein anderes Thema für das ich dann wohl einen eigenen tread eröffnen muss. Vorerst ist hier wohl alles erledigt.

Vielen Dank an alle !

:D :D :D

Nachtfalke

Wenn du einen anderen Webserver hast, dann kannst du un squidguard ja auch einen redirect auf einen anderen webserver machen als die pfsense.
Theoretisch kannst du auch ein JPG auf dropbox hochladen, es für alle zugänglich machen und dann in squidguard auf dieses statische dropbox jpg weiterleiten - vorausgesetzt alle haben Zugriff auf diese dropbox Seite - dann musst du dein pfsense Interface nicht für alle im LAN "freigeben".