Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 869 views
  • Users 0 members are here
Options
Suggested

[7.470][BUG][FIXED] All All load balancing makes astaro useless

Billybob
If you create a rule any any in load balancing, astaro creates wrong iptables rules and the firewall is necessarily bricked for anything useful. The only access you will have is from console. At that point you either have to delete the iptables rules (don't know if possible) or do a factory reset (if you know how to do it from command line).

Do not test this at home unless you want to factory reset /rebuild your machine!

Screenshot 1: Create a any any rule in load balancing pointing to astaro.com and astaro.org

Screenshot 2: Netfilter auto_forward has a rule all-->anywhere to the servers defined in load balancing setup without any other conditions. This rule is applied before any other ssh/webadmin rules. 

This causes any traffic (all protocols) including ssh/webadmin to be redirected to the IPs defined in load balancing. Which in turn puts astaro in a state where it is not available for any services at all.
Parents Reply Children
  • 0 in reply to Astaro Beta Bot
    Well, that's what you told it to do [:P]

    I suppose at least a warning would be in order, and maybe a setting to allow the LB to only apply to certain interfaces?

    Barry
  • 0 in reply to BarryG
    Well, that's what you told it to do [:P]
    Barry

    Technically you are right barry but I shouldn't be locked out of my own machine just because I goofed (and I goof all the time)[:D] At one time or another if something is not working, I always try any any any to see what is blocking what. In this case, I will be locked out of my machine that any amount of rebooting won't fix. All I can hope for is a recent backup (if I know how to factory reset on command line) or some kind of proficiency in writing netfilter rules to delete the rule.

    If you look at the netfilter rule that was created, it turned astaro into a router. I guess if you need a quick router, this is the way to do it but I don't think this is the intended behavior.[:)]
Unfiltered HTML