potthoff
Goto Top

Webradio mit Squid und ClamAV

Hallo zusammen,

Ich stehe mometan mal wieder auf dem Holzweg, ich habe Zuhause eine pfSense mit Squid und ClamAV, jetzt wollte ich nach einer langen Zeit mal wieder ein Radiostream starten doch der will nicht mehr. Gibt es irgendwas beim ClamAV zu beachten zwecks der Radiostreams weil Youtube etc. laufen sauber durch. Ich habe schon schon den Haken bei Exclude Audio/Video Streams gesetzt aber das hat den gewünschten erfolg nicht gebracht! Hab ich das was übersehen?

Content-ID: 492414

Url: https://administrator.de/contentid/492414

Ausgedruckt am: 04.11.2024 um 18:11 Uhr

Spirit-of-Eli
Spirit-of-Eli 06.09.2019 um 16:02:27 Uhr
Goto Top
Moin,

wirf doch mal einen Blick in die Logs.
Dort steht eigentlich was passiert.

Gruß
Spirit
Potthoff
Potthoff 07.09.2019 um 08:26:25 Uhr
Goto Top
Das habe ich schon gemacht, es ist kein Block oder sonstiges zu sehen im Squid var\log. Es sieht aus als kommt die Anfrage rein sehe auch die IP und die URL und dann passiert aber nichts weiter.
IceAge
IceAge 09.09.2019 aktualisiert um 13:08:18 Uhr
Goto Top
Hallo Zusammen,

ich kann das Verhalten auf einer pfsense mit squid/clamav bestätigen. Auch ein Exclude von Audio/Video Streams hat bei mir nicht geholfen. Letztendlich habe ich die IP des MP3-Clients per Squid auf eine Ausnahmeliste gesetzt. Auch ich wäre an der Lösung des Problems interessiert, bin aber auch mit meinem Latein am Ende gewesen. Meine Logfiles waren ebenfalls leer.

Grüße I.
Potthoff
Potthoff 10.09.2019 um 18:03:15 Uhr
Goto Top
Ich habe zwar ein Snort am laufen, hätte aber gern den Schutz gehabt durch den ClamAV bei http Seiten da der Snort ja glaube ich gar nicht fähig ist Virus Signaturen zu erkennen zumindest kannst ich trotz Snort auch immer bei Eicar die Virus test Downloaden ohne das sich der Snort meldet.
Oder kann hier jemand aus erfahrung sprechen das sich das ganze gar nicht lohnt mit dem Squid und ClamAV, zwecks erkennungsrate und die meisten Seiten laufen ja eh auf https und das breche ich zuhause zb. nicht auf da dadurch auch viele Handy Apps nicht mehr gehen würden.
Spirit-of-Eli
Spirit-of-Eli 10.09.2019 um 18:35:47 Uhr
Goto Top
Zitat von @Potthoff:

Ich habe zwar ein Snort am laufen, hätte aber gern den Schutz gehabt durch den ClamAV bei http Seiten da der Snort ja glaube ich gar nicht fähig ist Virus Signaturen zu erkennen zumindest kannst ich trotz Snort auch immer bei Eicar die Virus test Downloaden ohne das sich der Snort meldet.
Oder kann hier jemand aus erfahrung sprechen das sich das ganze gar nicht lohnt mit dem Squid und ClamAV, zwecks erkennungsrate und die meisten Seiten laufen ja eh auf https und das breche ich zuhause zb. nicht auf da dadurch auch viele Handy Apps nicht mehr gehen würden.

Snort sollte bei Eicar über http ebenfalls anschlagen. Zumindest wenn dieser richtig konfiguriert ist.
Über https klappt das bei mir auch nicht.
Potthoff
Potthoff 12.09.2019 um 08:16:39 Uhr
Goto Top
Okay, ne das tut er anscheinend nicht, da sich der ClamAV meldet. Soweit sollte es ja dann gar nicht erst kommen wenn Snort ihn endecken kann und auf dem WAN Interface lauscht.
Spirit-of-Eli
Spirit-of-Eli 12.09.2019 um 08:50:05 Uhr
Goto Top
In den Filterlisten pro interface gibt es oben auch eine Kategorisierung. Stelle diese einmal auf security.
Eicar wird meine ich auch ohne subscription erkannt.
Potthoff
Potthoff 12.09.2019 um 10:54:55 Uhr
Goto Top
okay, ich habe es auf Connectivity stehen gehabt. Das werde ich Heute nachmittag mal testen.
IceAge
IceAge 24.09.2019 um 12:57:38 Uhr
Goto Top
Konntest du das eigentliche Problem dieses Threads lösen?
Potthoff
Potthoff 28.12.2019 aktualisiert um 10:32:18 Uhr
Goto Top
Entschuldigt die Späte Antwort!

Also ein ClamAV läuft bei mir nicht mehr das macht wirklich nicht ganz so viel sinn! Da der Squid für https halt ManIntheMiddle Spielen müsste was bei PCs auch super klappen würde aber spätestens die Handy Apps haben nicht mehr die möglichkeit gescheit ins Internet zu kommen da sie ja nicht auf der Zertifikat zugreifen können in dem fall (zumindet bei meinem Iphone hat es nicht mehr geklappt). Da auf jeden meiner PCs eine Antivieren Software läuft und der ClamAV nur http gefiltert hätte, war es für mich er Ressourcenverschwendung.

Daher habe ich mich sehr intensive mit dem Snort beschäftigt, und bin angefangen sehr intensive die Fehler meldungen durch zu Sortieren und eine Whitelist zu flegen was die ersten Wochen echt sehr viel Zeit in anspruch genommen hat :D und eigentlich auch ab und zu noch macht.

Da der ClamAV nicht mehr läuft gab es natürlich auch nicht mehr das Problem der Internet Streams, obwohl es beim Bekannten auch sauber mittlerweile mit ClamAV funktioniert ohne weitere Einstellungen!