Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 18 replies
  • Subscribers 0 subscribers
  • Views 3812 views
  • Users 0 members are here
Options
Suggested

[7.480][BUG][FIXED] Unable to SSH to hosts behind Astaro

chippo305
Since upgrading to 7.480 using up2date I have been unable to ssh to any host behind my astaro firewall.

Packet Filter log shows the following (With x's substituted):

SSH connection attempt  TCP  120.138.22.x:55703 →  210.48.13.x:22


I believe this "SSH connection attempt" is related to a Brute Force prevention system. However i can't find any mention of this in Astaro's control panel and this is blocking access to all internal hosts from all (Tested) external hosts.

Specific setup has internal host (172.30.10.20) Masquerading behind an "Additional" external IP (210.48.x.x). All traffic for this external IP is DNATed to the internal host.

Packet Filter rules are set giving services I wish to allow (In this case SSH and HTTP) access from the internet directly to the internal host. HTTP is working as expected.

For troubleshooting I have also created an allow "Any Any SSH" rule, disabled IPS and Intrusion Anti-Portscan as well as creating a straight DNAT rule to exclude the Additonal IP as the cause. I have also rebooted.
Parents
  • 0
    60004 is an INPUT rule so I'd expect 210.48.13.128 is a local address, isn't it?
    Can you please specify where you wanted to ssh to?
  • 0 in reply to ee-tra
    60004 is an INPUT rule so I'd expect 210.48.13.128 is a local address, isn't it?
    Can you please specify where you wanted to ssh to?


    In this case 210.48.13.128 is an additional WAN IP. This is DNATed to 172.30.10.20 (Any service). Packet Filter rules then allow SSH and HTTP access to 172.30.10.20.

    I have several servers behind the astaro providing several services (Mail, Web, Terminal Services) these all also work correctly. SSH appears to be forwarded to the Astaro console bypassing the DNAT rules. 

    When the remote access console is disabled this results in the "SSH Connection Attempt" log entry shown above and client is unable to connect. When console is enabled traffic is directed to the astaro console login.
Reply
  • 0 in reply to ee-tra
    60004 is an INPUT rule so I'd expect 210.48.13.128 is a local address, isn't it?
    Can you please specify where you wanted to ssh to?


    In this case 210.48.13.128 is an additional WAN IP. This is DNATed to 172.30.10.20 (Any service). Packet Filter rules then allow SSH and HTTP access to 172.30.10.20.

    I have several servers behind the astaro providing several services (Mail, Web, Terminal Services) these all also work correctly. SSH appears to be forwarded to the Astaro console bypassing the DNAT rules. 

    When the remote access console is disabled this results in the "SSH Connection Attempt" log entry shown above and client is unable to connect. When console is enabled traffic is directed to the astaro console login.
Children
No Data
Unfiltered HTML