Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 18 replies
  • Subscribers 0 subscribers
  • Views 3812 views
  • Users 0 members are here
Options
Suggested

[7.480][BUG][FIXED] Unable to SSH to hosts behind Astaro

chippo305
Since upgrading to 7.480 using up2date I have been unable to ssh to any host behind my astaro firewall.

Packet Filter log shows the following (With x's substituted):

SSH connection attempt  TCP  120.138.22.x:55703 →  210.48.13.x:22


I believe this "SSH connection attempt" is related to a Brute Force prevention system. However i can't find any mention of this in Astaro's control panel and this is blocking access to all internal hosts from all (Tested) external hosts.

Specific setup has internal host (172.30.10.20) Masquerading behind an "Additional" external IP (210.48.x.x). All traffic for this external IP is DNATed to the internal host.

Packet Filter rules are set giving services I wish to allow (In this case SSH and HTTP) access from the internet directly to the internal host. HTTP is working as expected.

For troubleshooting I have also created an allow "Any Any SSH" rule, disabled IPS and Intrusion Anti-Portscan as well as creating a straight DNAT rule to exclude the Additonal IP as the cause. I have also rebooted.
Parents
  • 0
    Ok, thank you. Things cleared up now.
    This is a regression that came in with a fix for another issue in 7.470. 
    As you stated chippo305 DNAT for ssh is bypassed actually.
    Sadly this can't be workarounded easily on ASG side since the bypassing 
    rule is called at the very beginning of that chain.
    But you may use another port for ASG ssh and the DNAT rule
    to restore the wanted behavior.
Reply
  • 0
    Ok, thank you. Things cleared up now.
    This is a regression that came in with a fix for another issue in 7.470. 
    As you stated chippo305 DNAT for ssh is bypassed actually.
    Sadly this can't be workarounded easily on ASG side since the bypassing 
    rule is called at the very beginning of that chain.
    But you may use another port for ASG ssh and the DNAT rule
    to restore the wanted behavior.
Children
  • 0 in reply to ee-tra
    Confirmed. Resetting the Astaro SSH Shell port to a non-standard port allows SSH DNAT access to internal hosts.

    It is then possible to create a DNAT rule from the external IP (Port 22) to the internal IP (Port 2222) to restore port 22 access to astaro which for me is the expected behavior.

    Many thanks for your assistance.
Unfiltered HTML