Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Clamav no intercepta nada

    Scheduled Pinned Locked Moved Español
    10 Posts 3 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gromero
      last edited by

      Hola,

      Tengo pfsense 2.1.2 i386 con squid3-dev + squidguard funcionanado. He seguido la guia de configuración de squid3-dev para hacer funcionar clamav + i-cap. Ambos servicios estan activos, la base de datos actualizada, puedo cargar la página de aviso de virus (https://192.168.4.200:2345/clwarn.cgi) pero si descargo el virus eicar lo descarga sin ningún aviso. ¿Que pasos debo seguir para verificar el correcto funcionamiento de Squidclamav?

      Un saludo.

      1 Reply Last reply Reply Quote 0
      • L
        LEPM
        last edited by

        Squid esta funcionando?
        que lo veas como funcionando en services,y que puedas navegar, no significa que funcione correctamente.
        Tienes algo en acl/blacklist,lo bloquea?
        en realtime ves que este funcionando?

        Your new system is probably coming with some hyper trash like Windows 8

        1 Reply Last reply Reply Quote 0
        • G
          gromero
          last edited by

          Hola LEPM,

          Gracias por el soporte. Estoy convencido de que squid funciona, bloquea tanto por las listas importadas (Shalla) como los ACL personalizados, tengo 3 grupos de seguridad default, profesores y administración, donde default es el más restringido logicamente. Active el modo Debug 3 en c-icap.conf y tengo este log despues de descargar el eicar test de www.eicar.org:

          
          $ tail -n 50 /var/log/c-icap/server.log
          Fri Apr 25 09:58:06 2014, 28019/674865728, DEBUG extract_http_info: url http://analytics.eicar.org/piwik.js
          Fri Apr 25 09:58:06 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: URL requested: http://analytics.eicar.org/piwik.js
          Fri Apr 25 09:58:06 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: Content-Length: 0
          Fri Apr 25 09:58:06 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: No body data, allow 204
          Fri Apr 25 09:58:06 2014, 28019/674865728, DEBUG squidclamav_release_request_data: Releasing request data.
          Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_init_request_data: initializing request data handler.
          Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: processing preview header.
          Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: X-Client-IP: 10.0.128.106
          Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG extract_http_info: method GET
          Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG extract_http_info: url http://www.eicar.org/download/eicar.com.txt
          Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: URL requested: http://www.eicar.org/download/eicar.com.txt
          Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: Content-Length: 0
          Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: No body data, allow 204
          Fri Apr 25 09:58:09 2014, 28019/674865728, DEBUG squidclamav_release_request_data: Releasing request data.
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_init_request_data: initializing request data handler.
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_check_preview_handler: processing preview header.
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_check_preview_handler: preview data size is 68
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_check_preview_handler: X-Client-IP: 10.0.128.106
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG extract_http_info: method GET
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG extract_http_info: url http://www.eicar.org/download/eicar.com.txt
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_check_preview_handler: URL requested: http://www.eicar.org/download/eicar.com.txt
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_check_preview_handler: Content-Length: 68
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_check_preview_handler: Content-Type: application/octet-stream
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_end_of_data_handler: ending request data handler.
          Fri Apr 25 09:58:10 2014, 28019/674868928, dconnect: entering.
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_end_of_data_handler: Sending zINSTREAM command to clamd.
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_end_of_data_handler: Ok connected to clamd.
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG: squidclamav_end_of_data_handler: Scanning data now
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_end_of_data_handler: Write 72 bytes on 68 to socket
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_end_of_data_handler: Closing Clamd connection.
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_end_of_data_handler: Responding with allow 204
          Fri Apr 25 09:58:10 2014, 28019/674868928, DEBUG squidclamav_release_request_data: Releasing request data.
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_init_request_data: initializing request data handler.
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: processing preview header.
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: X-Client-IP: 10.0.128.106
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG extract_http_info: method GET
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG extract_http_info: url https://www.google.com/complete/search?client=firefox&q=proxy+anonimo
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: URL requested: https://www.google.com/complete/search?client=firefox&q=proxy+anonimo
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: Content-Length: 0
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: No body data, allow 204
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_release_request_data: Releasing request data.
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_init_request_data: initializing request data handler.
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: processing preview header.
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: X-Client-IP: 10.0.128.106
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG extract_http_info: method GET
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG extract_http_info: url https://www.google.com/search?q=proxy+anonimo&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: URL requested: https://www.google.com/search?q=proxy+anonimo&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: Content-Length: 0
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_check_preview_handler: No body data, allow 204
          Fri Apr 25 09:58:31 2014, 28019/674865728, DEBUG squidclamav_release_request_data: Releasing request data.
          
          
          1 Reply Last reply Reply Quote 0
          • G
            gromero
            last edited by

            Estoy probando diversos cambios en la configuración. Si pongo en c-icap.conf TmpDir /tmp el proxy parece que funciona correctamente, pero no bloquea la descarga del virus eicar desde www.eicar.org. Salen los siguientes avisos en /var/log/c-icap/server.log:

            
            Fri Apr 25 12:49:05 2014, 31650/674863168, ERROR squidclamav_end_of_data_handler: Can't write to clamd socket (maybe we reach clamd StreamMaxLength, total read: 43).
            Fri Apr 25 12:49:05 2014, 31650/674863168, ERROR: Can't send to clamd: Broken pipe
            
            

            Si dejo el valor por defecto que se supone que es /var/tmp, comentando la linea #TmpDir. En este caso falla la navegación saliendo siempre el mensaje del proxy 'de error de protocolo icap'. En el log sale esto otro:

            
            Fri Apr 25 13:09:35 2014, 25047/674867328, ci_simple_file_new: Can not open temporary filename in directory:/var/tmp/
            Fri Apr 25 13:09:35 2014, 25047/674867328, DEBUG squidclamav_release_request_data: Releasing request data.
            
            

            ¿Alguien sabe decirme algo sobre esto?

            Muchas gracias.

            1 Reply Last reply Reply Quote 0
            • L
              LEPM
              last edited by

              Mi pregunta sobre si squid funciona,era por si tienes algo en Proxy/ACLs/Blacklist
              y si lo bloqueaba.

              yo he tenido problemas con squid3-dev en una maquina real.

              squid dejaba de bloquear las blacklist y no interceptaba los virus!!
              entonces volví a squid 3.1.

              Tengo una VM con squid3-dev+squidguard-squid3 funcionando perfectamente
              y haga lo que haga no puedo reproducir el fallo!

              con respecto a tu problema.
              alguna ves funcionó bien?

              te dejo el log de lo que sucede desde el momento que clickeas el archivo con "virus" en eicar hasta
              que muestra la pagina de advertencia.

              Sat Apr 26 10:59:02 2014, 91271/674862912, DEBUG squidclamav_init_request_data: initializing request data handler.
              Sat Apr 26 10:59:02 2014, 91271/674862912, DEBUG squidclamav_check_preview_handler: processing preview header.
              Sat Apr 26 10:59:02 2014, 91271/674862912, DEBUG squidclamav_check_preview_handler: No body data, allow 204
              Sat Apr 26 10:59:02 2014, 91271/674862912, DEBUG squidclamav_release_request_data: Releasing request data.
              Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_init_request_data: initializing request data handler.
              Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_check_preview_handler: processing preview header.
              Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_check_preview_handler: preview data size is 68
              Sat Apr 26 10:59:08 2014, 91271/674862272, dconnect: entering.
              Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: Sending zINSTREAM command to clamd.
              Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: Ok connected to clamd.
              Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG: squidclamav_end_of_data_handler: Scanning data now
              Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: received from Clamd: stream: Eicar-Test-Signature FOUND
              Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: Virus redirection: https://192.168.1.1/clwarn.cgi?url=http://www.eicar.org/download/eicar.com.txt&source=192.168.1.2&user=-&virus=stream: Eicar-Test-Signature FOUND.
              Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: Virus found, ending download.
              Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: Closing Clamd connection.
              Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_end_of_data_handler: Virus found, sending redirection header + error page.
              Sat Apr 26 10:59:08 2014, 91271/674862272, DEBUG squidclamav_release_request_data: Releasing request data.
              
              

              No probaste de instalarlo en una VM?
              yo no e tocado ni una sola linea de "c-icap.conf" y funciona bien.
              de squidclamav.conf solo la linea del "pfsenseip"

              porque no lo instalas en una VM,solo cambiando la ip "squidclamav.conf" y ves la diferencia.
              si quires te pego la config de mi VM.

              Your new system is probably coming with some hyper trash like Windows 8

              1 Reply Last reply Reply Quote 0
              • G
                gromero
                last edited by

                Gracias LEMP.
                Ya funciona, he tenido que modificar en c-icap.conf y clamd.conf el valor de TmpDir a /tmp. Por alguna razón que desconozco mi instalación no puede usar /var/tmp (valor por defecto) con clamd.
                Mi instalación tiene una personalización respecto a la que se hace por defecto y es que modifique las rutas de los modulos que usan una base de datos en /var/db para que se guarde en /usr/local/db (para que no se pierdan entre reinicios porque tengo /var y /tmp en RamDisk), pero no veo como puede afectar esto a los temporales…

                No pruebo con una maquina virtual porque este equipo aún no esta en producción y puedo hacer con el las pruebas. Además tiene 6 puertos (2WAN Y 4 LAN) por lo que se me complicarían las pruebas en una VM, pero tendré que ir preparando una para cuando lo ponga en producción....

                Pero al arreglar esto ha aparecido otro problema con el proxy que antes no tenía y es que accedo a una web, por ejemplo www.elmundo.es, se carga perfectamente, pero al pinchar un enlace, por ejemplo cualquier articulo, sale un error del proxy indicando conexión fallida, y ya no puedo ver nada más en esa web siempre con el mismo error, pero si voy a una web distinta o busco en google si va....  :o y no encuentro la razón de esto en los logs..

                1 Reply Last reply Reply Quote 0
                • G
                  gromero
                  last edited by

                  El último problema también esta solucionado, y era que Snort estaba bloqueando las webs después de visitarlas por algo que llama DOUBLE DECODING ATTACK, he creado una excepción y eliminado de la lista de bloqueadas las ips y ya va sin problema.

                  1 Reply Last reply Reply Quote 0
                  • belleraB
                    bellera
                    last edited by

                    @gromero:

                    Ya funciona, he tenido que modificar en c-icap.conf y clamd.conf el valor de TmpDir a /tmp. Por alguna razón que desconozco mi instalación no puede usar /var/tmp (valor por defecto) con clamd.
                    Mi instalación tiene una personalización respecto a la que se hace por defecto y es que modifique las rutas de los modulos que usan una base de datos en /var/db para que se guarde en /usr/local/db (para que no se pierdan entre reinicios porque tengo /var y /tmp en RamDisk), pero no veo como puede afectar esto a los temporales…

                    Sugiero que en lugar de cambiar emplazamientos "juegues" con el uso de enlaces simbólicos, comando ln -s

                    http://www.freebsd.org/cgi/man.cgi?query=ln

                    1 Reply Last reply Reply Quote 0
                    • G
                      gromero
                      last edited by

                      ¿los enlaces se pueden crear desde shellcmd y si es así con que prioridad? porque /var desaparece entre reinicios al ir en ramdisk.

                      Saludos

                      1 Reply Last reply Reply Quote 0
                      • belleraB
                        bellera
                        last edited by

                        Sí, se hacen desde la consola.

                        Pueden hacerse cosas como:

                        cd /var
                        mv log /usr/var_en_usr/.
                        ln -s /usr/var_en_usr/log log

                        Con el ejemplo, en un FreeBSD normal, trasladamos los logs de /var/log a /usr/var_en_usr/log y se siguen viendo también en /var/log

                        Espero haberme explicado. Evidentemente, hay que ir con sumo cuidado con estas operaciones…

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.