Thread Info
  • State Not Answered
  • Replies 29 replies
  • Subscribers 0 subscribers
  • Views 12022 views
  • Users 0 members are here
Options
Suggested

[7.460][QUESTION][OPEN] Connection refused on shared resources

wingman
Hi All

The issue I am facing is that I am unable to access resources on my media client
It used to work on version 7.404 but after updating to v7.460 is doesn't work.
I am getting the following error via the HTTP log 

2009:06:27-16:05:45 Enterprise httpproxy[4075]: [0xa9c538f0] send_request_headers (request.c:171) write: Connection refused 

2009:06:27-16:05:45 Enterprise httpproxy[4075]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="OPTIONS" srcip="192.168.2.31" user="" statuscode="502" cached="0" profile="REF_TJkZFLrkmc (Zone 1 Proxy filter)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2135" time="2 ms" request="0xa9c538f0" url="172.16.1.2/" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized" 



I am not blocking uncategorized and neutral. PF rules are ok since I can see the traffic logged for the client 172.16.1.2

Any ideas?
Parents
  • 0
    It looks like the HTTP Proxy is blocking traffic with your DMZ.  Are you sure you haven't selected the 'Suspicious and uncategorized' checkbox in the middle of the list of categories?
  • 0 in reply to BAlfson
    The DMZ zone only blocks the following:

    DMZ Zone filter
    -------------------
    Anonymizers
    Anonymizing Utilities
    Parked Domain
    Phishing
    Spam URLs
    Spyware/Adware

    It was the exact same config I was using on v7.404. Do you know what is the following: 

    2009:06:27-16:05:45 Enterprise httpproxy[4075]: [0xa9c538f0] send_request_headers (request.c:171) write: Connection refused 
  • 0 in reply to wingman
    The issue is with the filtering done on the Internal network, not on that done on the DMZ network.  What does that cinfig look like?

    I dunno, I had assumed that line was part of the blocking.

    Cheers - Bob
  • 0 in reply to BAlfson
    I was about to edit my previous post cause I accidentally told you about the DMZ. Internal zone blocks the following only:

    Zone 1 filter
    ------------------------
    Anonymizers
    Anonymizing Utilities
    Parked Domain
    Phishing
    Spam URLs
    Spyware/Adware
  • 0 in reply to wingman
    Routing is probably getting confused since more than likely dmz is allowed to surf via http proxy also. But the error in the logs would indicate that the proxy is blocking it which doesn't make sense. Do you have packet filter rule allow LAN-->http to dmz by any chance? 
    If you do, as a work around, try putting 172.16.1.2 in transparent skiplist under http/s-->advanced-->Transparent mode skiplist. Also uncheck the box Allow HTTP traffic for listed hosts/nets after you add the IP. I am assuming you are using transparent proxy and see if it works. 
    It still might be a bug though in http proxy. HTTP proxy was fine in 7.450 but is not the stablest thing in 7.460 in my opinion.
  • 0 in reply to Billybob
    Routing is probably getting confused since more than likely dmz is allowed to surf via http proxy also. But the error in the logs would indicate that the proxy is blocking it which doesn't make sense. Do you have packet filter rule allow LAN-->http to dmz by any chance? 
    If you do, as a work around, try putting 172.16.1.2 in transparent skiplist under http/s-->advanced-->Transparent mode skiplist. Also uncheck the box Allow HTTP traffic for listed hosts/nets after you add the IP. I am assuming you are using transparent proxy and see if it works. 
    It still might be a bug though in http proxy. HTTP proxy was fine in 7.450 but is not the stablest thing in 7.460 in my opinion.


    i have a rule that only allows specific (netbios,ping etc) trafic to DMZ and is on the top of the rules. When I enable the logging for this rule I can see the traffic allowed but still traffic is blocked by the proxy.
  • 0 in reply to wingman
    it seems that https proxy is not stable. I have the same issue with a website and I explicity allowed it on the http proxy

    seems strange 

    2009:06:27-20:42:19 Enterprise httpproxy[8978]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.31" user="" statuscode="400" cached="0" profile="REF_TJkZFLrkmc (Zone 1 Proxy filter)" filteraction=" ()" size="2371" time="0 ms" request="0xa83d4490" url="update.filezilla-project.org/updatecheck.php
Reply Children
  • 0 in reply to wingman
    strangely enough ,one of the vista clients can connect with no issues to the shared resources and there is no log when they try to connect on the HTTP log. the two clients are in the same proxy filter and have the exact same proxy settings.However, I am getting the below error: 

    2009:06:27-23:00:20 Enterprise httpproxy[4028]: [0xa8c75808] send_request_headers (request.c:171) write: Connection refused

    2009:06:27-23:00:20 Enterprise httpproxy[4028]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="OPTIONS" srcip="192.168.2.31" user="" statuscode="502" cached="0" profile="REF_TJkZFLrkmc (Zone 1 Proxy filter)" filteraction="REF_KvAnposSQm (Zone 1 Filter)" size="2135" time="2 ms" request="0xa8c75808" url="172.16.1.2/" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized


    and the vista client isn't
  • 0 in reply to wingman 
    Astaro Beta Report
    --------------------------------
    Version: 7.460
    Type: QUESTION
    State: OPEN
    Reporter: wingman
    Contributor: 
    MantisID: 
    --------------------------------

  • 0 in reply to Astaro Beta Bot
    could you please tell us witch OS are you using in which SP state? Further we need the version of your browser and example URL to reproduce it

    Greetings
    Andreas
  • 0 in reply to Astaro Beta Bot
    I am still facing the same issue. Vista client can connect to the vista box and the connection is not appearing on the http log
  • 0 in reply to wingman
    Could you please break it down for us. What media server are you running and which client are you using to connect. 
    As you have noticed https proxy is not behaving as it should (I have a whole thread on it somewhere). I now have a packet filter rule that allows https access via packet filter since I don't like installing a million certificates at home for https proxy for ssl traffic.

    Try connecting multiple times to the server and include a longer log for http and packet filter if anything is being dropped.
    Thanks.
  • 0 in reply to Billybob
    I have a client that is running xp home. The media center is on vista. When the user tries to connect to that box via \172.16.1.2 (start>>run) I am getting the output on the http log(above posts). When another client with vista box does exactly the same, he is able to connect and no relevant logs exist on the log

    I didn't have that issue on v7.404. I am pretty sure that it's related to the http proxy since I can see the relavant pf allowing the traffic
    Not sure if it will help but as xp home client tries to connect I can see the relevant blocks on astaro

    XP home and vista clients are zone 1 (192.168.x.x)
    media box (vista) is on the DMZ  (172.16.1.x)
    traffic is allowed from zone 1 to DMZ

    strangely enough , the connection was made and 2 minutes later I saw the relevant entry that it was blocked 
    2009:07:03-00:18:04 stuffman httpproxy[7574]: [0xb0b49c98] sc_categorize_url (scr_scanner.c:940) no categorization received for url: www.astaro.org/ajax.php

    2009:07:03-00:18:16 stuffman httpproxy[7574]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.31" user="wingman" statuscode="200" cached="0" profile="REF_TJkZFLrkmc (Zone 1 Proxy filter)" filteraction="REF_KvAnposSQm (Zone 1 Filter)" size="13961" time="3369 ms" request="0xb0be30b0" url="www.astaro.org/editpost.php

    2009:07:03-00:18:20 stuffman httpproxy[7574]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="POST" srcip="192.168.2.31" user="wingman" statuscode="500" cached="0" profile="REF_TJkZFLrkmc (Zone 1 Proxy filter)" filteraction="REF_KvAnposSQm (Zone 1 Filter)" size="2219" time="12447 ms" request="0xb0b49c98" url="www.astaro.org/ajax.php

    ....

    2009:07:03-00:20:18 stuffman httpproxy[7574]: [0xb0b49c98] send_request_headers (request.c:171) write: Connection refused 

    2009:07:03-00:20:18 stuffman httpproxy[7574]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="OPTIONS" srcip="192.168.2.31" user="wingman" statuscode="502" cached="0" profile="REF_TJkZFLrkmc (Zone 1 Proxy filter)" filteraction="REF_KvAnposSQm (Zone 1 Filter)" size="2135" time="2 ms" request="0xb0b49c98" url="172.16.1.2/" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized" 

    2009:07:03-00:20:41 stuffman httpproxy[7574]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.


    Let me know if you still require me to provide the logs from the pf and http
    Thanks
  • 0 in reply to wingman
     \172.16.1.2 (start>>run) 

    Isn't that covered under netbios? Where does http proxy get involved?

    Edit: I get it, you are saying logs are being generated although you are connecting via netbios windows shares. Hence the whole title connection refused on shared resources[;)] This is only on xp machine?
  • 0 in reply to Billybob
    Yes it is!That's why I am saying there is something wrong..the pf rules have the netbios ports and I can see the traffic logged and permitted. How is HTTP proxy involved?
  • 0 in reply to wingman
    Ok I can confirm this. I have my exchange server running on DMZ called postmaster[[:D]] I have blocked all traffic to dmz by a reject rule (see screenshots). When I type start-->run-->\postmaster, the http proxy catches that traffic and I get this in my http proxy logs
    2009:07:02-18:36:17 gatekeeper httpproxy[6917]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="OPTIONS" srcip="192.168.0.2" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2089" time="1 ms" request="0xb0d318f0" url="http://postmaster/" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized"


    I have attached a screenshot of my http proxy setup also. It doesn't matter if dmz is included or not included in the allowed networks. It speeds up the error generation a little if you add dmz to the allowed networks in http proxy. Something is very wrong with the built in netfilter rules. Will try to browse through them and see if I can find the culprit (although I do like keeping some hair on my head. I hate reading iptables rules)[[:D]]
  • 0 in reply to Billybob
    Ok found the problem. Probably the first place I should have looked. Since I tested with an all block rule, my IPS wasn't generating any errors but in your case IPS is blocking traffic which is causing xp to hang following requests to the share on dmz. Disable IPS to verify.

    It still doesn't explain the traffic to port 80 but with all the service packs etc on xp, when you type \servername it might be trying //servername after a while just to make sure you didn't make a mistake[:S]

    Looking at the logs
    sid="529" NETBIOS DCERPC NCACN-IP-TCP srvsvc NetrShareEnum null policy handle attempt
    sid="466" ICMP L3retriever Ping