Thread Info
  • State Not Answered
  • Replies 29 replies
  • Subscribers 0 subscribers
  • Views 12034 views
  • Users 0 members are here
Options
Suggested

[7.460][QUESTION][OPEN] Connection refused on shared resources

wingman
Hi All

The issue I am facing is that I am unable to access resources on my media client
It used to work on version 7.404 but after updating to v7.460 is doesn't work.
I am getting the following error via the HTTP log 

2009:06:27-16:05:45 Enterprise httpproxy[4075]: [0xa9c538f0] send_request_headers (request.c:171) write: Connection refused 

2009:06:27-16:05:45 Enterprise httpproxy[4075]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="OPTIONS" srcip="192.168.2.31" user="" statuscode="502" cached="0" profile="REF_TJkZFLrkmc (Zone 1 Proxy filter)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2135" time="2 ms" request="0xa9c538f0" url="172.16.1.2/" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized" 



I am not blocking uncategorized and neutral. PF rules are ok since I can see the traffic logged for the client 172.16.1.2

Any ideas?
Parents
  • 0
    It looks like the HTTP Proxy is blocking traffic with your DMZ.  Are you sure you haven't selected the 'Suspicious and uncategorized' checkbox in the middle of the list of categories?
  • 0 in reply to BAlfson
    The DMZ zone only blocks the following:

    DMZ Zone filter
    -------------------
    Anonymizers
    Anonymizing Utilities
    Parked Domain
    Phishing
    Spam URLs
    Spyware/Adware

    It was the exact same config I was using on v7.404. Do you know what is the following: 

    2009:06:27-16:05:45 Enterprise httpproxy[4075]: [0xa9c538f0] send_request_headers (request.c:171) write: Connection refused 
  • 0 in reply to wingman
    strangely enough ,one of the vista clients can connect with no issues to the shared resources and there is no log when they try to connect on the HTTP log. the two clients are in the same proxy filter and have the exact same proxy settings.However, I am getting the below error: 

    2009:06:27-23:00:20 Enterprise httpproxy[4028]: [0xa8c75808] send_request_headers (request.c:171) write: Connection refused

    2009:06:27-23:00:20 Enterprise httpproxy[4028]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="OPTIONS" srcip="192.168.2.31" user="" statuscode="502" cached="0" profile="REF_TJkZFLrkmc (Zone 1 Proxy filter)" filteraction="REF_KvAnposSQm (Zone 1 Filter)" size="2135" time="2 ms" request="0xa8c75808" url="172.16.1.2/" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized


    and the vista client isn't
  • 0 in reply to wingman 
    Astaro Beta Report
    --------------------------------
    Version: 7.460
    Type: QUESTION
    State: OPEN
    Reporter: wingman
    Contributor: 
    MantisID: 
    --------------------------------

  • 0 in reply to Astaro Beta Bot
    could you please tell us witch OS are you using in which SP state? Further we need the version of your browser and example URL to reproduce it

    Greetings
    Andreas
  • 0 in reply to Astaro Beta Bot
    I am still facing the same issue. Vista client can connect to the vista box and the connection is not appearing on the http log
  • 0 in reply to wingman
    Could you please break it down for us. What media server are you running and which client are you using to connect. 
    As you have noticed https proxy is not behaving as it should (I have a whole thread on it somewhere). I now have a packet filter rule that allows https access via packet filter since I don't like installing a million certificates at home for https proxy for ssl traffic.

    Try connecting multiple times to the server and include a longer log for http and packet filter if anything is being dropped.
    Thanks.
  • 0 in reply to Billybob
    I have a client that is running xp home. The media center is on vista. When the user tries to connect to that box via \172.16.1.2 (start>>run) I am getting the output on the http log(above posts). When another client with vista box does exactly the same, he is able to connect and no relevant logs exist on the log

    I didn't have that issue on v7.404. I am pretty sure that it's related to the http proxy since I can see the relavant pf allowing the traffic
    Not sure if it will help but as xp home client tries to connect I can see the relevant blocks on astaro

    XP home and vista clients are zone 1 (192.168.x.x)
    media box (vista) is on the DMZ  (172.16.1.x)
    traffic is allowed from zone 1 to DMZ

    strangely enough , the connection was made and 2 minutes later I saw the relevant entry that it was blocked 
    2009:07:03-00:18:04 stuffman httpproxy[7574]: [0xb0b49c98] sc_categorize_url (scr_scanner.c:940) no categorization received for url: www.astaro.org/ajax.php

    2009:07:03-00:18:16 stuffman httpproxy[7574]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.31" user="wingman" statuscode="200" cached="0" profile="REF_TJkZFLrkmc (Zone 1 Proxy filter)" filteraction="REF_KvAnposSQm (Zone 1 Filter)" size="13961" time="3369 ms" request="0xb0be30b0" url="www.astaro.org/editpost.php

    2009:07:03-00:18:20 stuffman httpproxy[7574]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="POST" srcip="192.168.2.31" user="wingman" statuscode="500" cached="0" profile="REF_TJkZFLrkmc (Zone 1 Proxy filter)" filteraction="REF_KvAnposSQm (Zone 1 Filter)" size="2219" time="12447 ms" request="0xb0b49c98" url="www.astaro.org/ajax.php

    ....

    2009:07:03-00:20:18 stuffman httpproxy[7574]: [0xb0b49c98] send_request_headers (request.c:171) write: Connection refused 

    2009:07:03-00:20:18 stuffman httpproxy[7574]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="OPTIONS" srcip="192.168.2.31" user="wingman" statuscode="502" cached="0" profile="REF_TJkZFLrkmc (Zone 1 Proxy filter)" filteraction="REF_KvAnposSQm (Zone 1 Filter)" size="2135" time="2 ms" request="0xb0b49c98" url="172.16.1.2/" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized" 

    2009:07:03-00:20:41 stuffman httpproxy[7574]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.


    Let me know if you still require me to provide the logs from the pf and http
    Thanks
  • 0 in reply to wingman
     \172.16.1.2 (start>>run) 

    Isn't that covered under netbios? Where does http proxy get involved?

    Edit: I get it, you are saying logs are being generated although you are connecting via netbios windows shares. Hence the whole title connection refused on shared resources[;)] This is only on xp machine?
  • 0 in reply to Billybob
    Yes it is!That's why I am saying there is something wrong..the pf rules have the netbios ports and I can see the traffic logged and permitted. How is HTTP proxy involved?
  • 0 in reply to wingman
    Ok I can confirm this. I have my exchange server running on DMZ called postmaster[[:D]] I have blocked all traffic to dmz by a reject rule (see screenshots). When I type start-->run-->\postmaster, the http proxy catches that traffic and I get this in my http proxy logs
    2009:07:02-18:36:17 gatekeeper httpproxy[6917]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="OPTIONS" srcip="192.168.0.2" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2089" time="1 ms" request="0xb0d318f0" url="http://postmaster/" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized"


    I have attached a screenshot of my http proxy setup also. It doesn't matter if dmz is included or not included in the allowed networks. It speeds up the error generation a little if you add dmz to the allowed networks in http proxy. Something is very wrong with the built in netfilter rules. Will try to browse through them and see if I can find the culprit (although I do like keeping some hair on my head. I hate reading iptables rules)[[:D]]
  • 0 in reply to Billybob
    Ok found the problem. Probably the first place I should have looked. Since I tested with an all block rule, my IPS wasn't generating any errors but in your case IPS is blocking traffic which is causing xp to hang following requests to the share on dmz. Disable IPS to verify.

    It still doesn't explain the traffic to port 80 but with all the service packs etc on xp, when you type \servername it might be trying //servername after a while just to make sure you didn't make a mistake[:S]

    Looking at the logs
    sid="529" NETBIOS DCERPC NCACN-IP-TCP srvsvc NetrShareEnum null policy handle attempt
    sid="466" ICMP L3retriever Ping
Reply
  • 0 in reply to Billybob
    Ok found the problem. Probably the first place I should have looked. Since I tested with an all block rule, my IPS wasn't generating any errors but in your case IPS is blocking traffic which is causing xp to hang following requests to the share on dmz. Disable IPS to verify.

    It still doesn't explain the traffic to port 80 but with all the service packs etc on xp, when you type \servername it might be trying //servername after a while just to make sure you didn't make a mistake[:S]

    Looking at the logs
    sid="529" NETBIOS DCERPC NCACN-IP-TCP srvsvc NetrShareEnum null policy handle attempt
    sid="466" ICMP L3retriever Ping
Children
  • 0 in reply to Billybob
    Hi together,

    just for clarification :-)

    with vista all is working in the correct way and with xp sid="529" NETBIOS DCERPC NCACN-IP-TCP srvsvc NetrShareEnum null policy handle attempt and sid="466" ICMP L3retriever Ping have a false positive and are blocking this traffic?

    Greetings
    Andreas
  • 0 in reply to Billybob
    Ok found the problem. Probably the first place I should have looked. Since I tested with an all block rule, my IPS wasn't generating any errors but in your case IPS is blocking traffic which is causing xp to hang following requests to the share on dmz. Disable IPS to verify.

    It still doesn't explain the traffic to port 80 but with all the service packs etc on xp, when you type \servername it might be trying //servername after a while just to make sure you didn't make a mistake[:S]

    Looking at the logs
    sid="529" NETBIOS DCERPC NCACN-IP-TCP srvsvc NetrShareEnum null policy handle attempt
    sid="466" ICMP L3retriever Ping



    I will test today(disable IPS) and let you know. The media box is running vista with SP2.
  • 0 in reply to andyk007
    Did some more testing on the port 80 mystery. I disabled http proxy and disabled all traffic for my xp client to dmz. When you type start run \192.168.1.101 It generates netbios/port 445 traffic and then suddenly switches to port 8080 and queries the firewall itself at 192.168.0.1. Another strange windows behavior I guess. Screenshot attached.
  • 0 in reply to Billybob
    Did some more testing on the port 80 mystery. I disabled http proxy and disabled all traffic for my xp client to dmz. When you type start run \192.168.1.101 It generates netbios/port 445 traffic and then suddenly switches to port 8080 and queries the firewall itself at 192.168.0.1. Another strange windows behavior I guess. Screenshot attached.




    If that's the case then yes the traffic is blocked

    I can confirm that.I've disabled the http proxy and IPS and logged traffic 

    18:43:10	Packetfilter rule #9	TCP	
    192.168.2.31	:	3354

    172.16.1.2	:	80
    [SYN]	len=48	ttl=127	tos=0x00	srcmac=00:1f[[:D]]0:0a:9a:89	dstmac=00:b0:c2:02:e4:4f
    18:43:10	Packetfilter rule #9	TCP	
    192.168.2.31	:	3354

    172.16.1.2	:	80
    [SYN]	len=48	ttl=127	tos=0x00	srcmac=00:1f[[:D]]0:0a:9a:89	dstmac=00:b0:c2:02:e4:4f
    18:43:10	Packetfilter rule #9	TCP	
    192.168.2.31	:	3354

    172.16.1.2	:	80
    [SYN]	len=48	ttl=127	tos=0x00	srcmac=00:1f[[:D]]0:0a:9a:89


    The log includes netbios as well but I didn't include here as it's expected to see netbios traffic

    I get a challenge for my password and username on the box. Strangely enough I can see port 80 (not 8080) on the log [:D]

    Stll that doesn;'t explain why my vista box can access with no issues when ips and HTTP proxy are enabled
  • 0 in reply to wingman
    to me this is a bug so I've changed the name
    Any luck Billybob with the testing from ur side? 

    Sorry about not getting back sooner. Was trying to have a regular life on the 4th of July weekend[[:D]] This is definitely a bug, I think they are just waiting on your confirmation if IPS is what is really blocking your access and if it is, are both vista and xp affected. Just a little more info.

    When I tested this I couldn't get to my share on dmz using vista or xp. In vista, I would get an explorer window and it would hang generating the 
    sid="529" NETBIOS DCERPC NCACN-IP-TCP srvsvc NetrShareEnum null policy handle attempt 
    xp generates the sid="466" ICMP L3retriever Ping. 

    Although sid 466 is not set to block, it still blocked my requests but thats a different bug.

    I get a challenge for my password and username on the box. Strangely enough I can see port 80 (not 8080) on the log [[:D]]


    I had port 8080 in my browser so it is going to 8080 for me and 80 for you.