ClamAV de PfSense no me funciona

starnix

Hola, ayer instalé tanto Squid como Squidguard en mi PfSense y me gustaría instalar el antivirus ClamAV para que así cuando intente abrir cualquier archivo no me deje, pues bien, he seguido los siguientes pasos de los dos vídeos que ven, el servicio me sale como activo pero cuando me meto en la web que ellos utilizan de prueba e intento descargar cualquier cosa, me deja sin ningún problema y no me sale la página que a ellos les sale.

Los vídeos que utilicé son los siguientes: Instalación ClamAV
Video largo de la instalación de ClamAV junto con SquidGuard y Squid

Datos a tener en cuenta:

• PfSense utilizado desde VirtualBox versión 2.4.4 p-3 (es una ISO)
• Las pruebas las realizo desde máquinas virtuales Windows 8
• Mi esquema de red es el siguiente: Salgo a internet a través de una WAN, de ella tengo dos LANS, una llamada Admin que es la LAN 1 que utilizo con una IP fija y luego tengo la LAN 2 llamada Clientes, esta LAN coge una IP automática con DHCP.
• Los clientes solo pueden acceder a internet mediante portal cautivo, si no se logean y ponen nombre de usuario y contraseña correctamente, no les deja navegar.

Esto es lo único que pienso que puedo tener mal y que por eso no me salga, esto es dentro de la configuración del Squid:

DaddyGo

ClamAV only works for http traffic, anyway, a firewall is not a good solution for virus protection.
The proxy interface and the transparent proxy interface should be the LAN

lucasll

@starnix
Prueba este test. Es un poco clásico, pero te ayudará.
https://www.eicar.org --> link "download testfile"

Enlace directo http (o sea, no https):
http://2016.eicar.org/download/eicar.com

starnix

@lucasll
Metiendome en la página https://www.eicar.org --> link "download testfile" y clickando sobre los zips, me deja ejecutar y guardarlo sin ningún problema.

Si me meto en el enlace directo con http http://2016.eicar.org/download/eicar.com me sale lo siguiente:

En la barra de direcciones aparece mi dominio acompañado de lo siguiente

http://2016.eicar.org/download/eicar.com

starnix

@DaddyGo Does this mean that it will only work with pages that have an http certificate? well, nowadays almost no page uses http, now almost all uses https, then it is almost useless

DaddyGo

You understand the situation exactly well.
ClamAV cannot scan https pages due to MITM

DaddyGo

For a long time there was a problem with the redirect url and own pfSense system domain name,
in case it works well, this page should get you

starnix

@DaddyGo The person above gave me that same website, one with https and one with http.
If I try to enter the web page with https, I enter without problem and I can download the zips without any problem.

Instead in http I get the image that I have attached

DaddyGo

Yes this is a fairly common test page among IT professionals.
In my example, I used that too.
As I mentioned, this configuration is a problem (redirect url):

Anyway, try to upgrade to 2.4.5, it's your responsibility, but I can say that we've upgraded nearly 25 pfSense devices on our system without any problems. If you are using a virtual machine, be careful.

In 2.4.5 there is a pair of Squid and along with ClamAV update and patch

lucasll

@starnix
También puedes hacer pruebas configurando el proxy explícitamente en el navegador. Es decir, sin modo transparente.

starnix

@lucasll Para configurarlo como tu dices simplemente desactivo la opción de modo transparente y ya?

starnix

@DaddyGo I will try to update my pfsense in case that is what gives error

DaddyGo

The non-transparent mode (implicit) requires multiple configurations, which can be inconvenient on a large system

https://docs.netgate.com/pfsense/en/latest/cache-proxy/wpad-autoconfigure-for-squid.html
https://www.ssltrust.com.au/help/setup-guides/setup-squid-proxy