Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 18 replies
  • Subscribers 0 subscribers
  • Views 3802 views
  • Users 0 members are here
Options
Suggested

[7.480][BUG][FIXED] Unable to SSH to hosts behind Astaro

chippo305
Since upgrading to 7.480 using up2date I have been unable to ssh to any host behind my astaro firewall.

Packet Filter log shows the following (With x's substituted):

SSH connection attempt  TCP  120.138.22.x:55703 →  210.48.13.x:22


I believe this "SSH connection attempt" is related to a Brute Force prevention system. However i can't find any mention of this in Astaro's control panel and this is blocking access to all internal hosts from all (Tested) external hosts.

Specific setup has internal host (172.30.10.20) Masquerading behind an "Additional" external IP (210.48.x.x). All traffic for this external IP is DNATed to the internal host.

Packet Filter rules are set giving services I wish to allow (In this case SSH and HTTP) access from the internet directly to the internal host. HTTP is working as expected.

For troubleshooting I have also created an allow "Any Any SSH" rule, disabled IPS and Intrusion Anti-Portscan as well as creating a straight DNAT rule to exclude the Additonal IP as the cause. I have also rebooted.
Parents
  • 0
    i have the same problem. i can't reach my server behind the astaro any more. this was working fine before the 7.480 update.

    NO rules are being changed!

    this is what the live log shows:

    09:25:38  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:25  SSH connection attempt  TCP 
    193.128.***.198  :  23446
    → 
    78.86.187.***  :  22

    [SYN]  len=48  ttl=116  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:26  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:28  SSH connection attempt  TCP 
    193.128.***.198  :  23446
    → 
    78.86.187.***  :  22

    [SYN]  len=48  ttl=116  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:31  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:32  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:34  SSH connection attempt  TCP 
    193.128.***.198  :  23446
    → 
    78.86.187.***  :  22

    [SYN]  len=48  ttl=116  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:31:31  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05

    again NO rule / DNAT changes are being made other then the update from 7.470 to 7.480.

    turning IPS of has no affect and gives the same result.

    by changing the "SSH daemon listen port" on Astaro from 22 to something else it's start to work again. i'm very sure that i ddn't change this as it was possible to SSH to my web server on the DMZ and then SSH back to Astaro. i only allow SSH from known IP numbers to my web server and not directly to the Astaro what is bad security practish.

    so something has being changed the way version 7.480 is working different from the previous versions!
Reply
  • 0
    i have the same problem. i can't reach my server behind the astaro any more. this was working fine before the 7.480 update.

    NO rules are being changed!

    this is what the live log shows:

    09:25:38  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:25  SSH connection attempt  TCP 
    193.128.***.198  :  23446
    → 
    78.86.187.***  :  22

    [SYN]  len=48  ttl=116  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:26  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:28  SSH connection attempt  TCP 
    193.128.***.198  :  23446
    → 
    78.86.187.***  :  22

    [SYN]  len=48  ttl=116  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:31  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:32  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:34  SSH connection attempt  TCP 
    193.128.***.198  :  23446
    → 
    78.86.187.***  :  22

    [SYN]  len=48  ttl=116  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:31:31  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05

    again NO rule / DNAT changes are being made other then the update from 7.470 to 7.480.

    turning IPS of has no affect and gives the same result.

    by changing the "SSH daemon listen port" on Astaro from 22 to something else it's start to work again. i'm very sure that i ddn't change this as it was possible to SSH to my web server on the DMZ and then SSH back to Astaro. i only allow SSH from known IP numbers to my web server and not directly to the Astaro what is bad security practish.

    so something has being changed the way version 7.480 is working different from the previous versions!
Children
No Data
Unfiltered HTML