Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 18 replies
  • Subscribers 0 subscribers
  • Views 3810 views
  • Users 0 members are here
Options
Suggested

[7.480][BUG][FIXED] Unable to SSH to hosts behind Astaro

chippo305
Since upgrading to 7.480 using up2date I have been unable to ssh to any host behind my astaro firewall.

Packet Filter log shows the following (With x's substituted):

SSH connection attempt  TCP  120.138.22.x:55703 →  210.48.13.x:22


I believe this "SSH connection attempt" is related to a Brute Force prevention system. However i can't find any mention of this in Astaro's control panel and this is blocking access to all internal hosts from all (Tested) external hosts.

Specific setup has internal host (172.30.10.20) Masquerading behind an "Additional" external IP (210.48.x.x). All traffic for this external IP is DNATed to the internal host.

Packet Filter rules are set giving services I wish to allow (In this case SSH and HTTP) access from the internet directly to the internal host. HTTP is working as expected.

For troubleshooting I have also created an allow "Any Any SSH" rule, disabled IPS and Intrusion Anti-Portscan as well as creating a straight DNAT rule to exclude the Additonal IP as the cause. I have also rebooted.
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.480
    Type: BUG
    State: FIXED
    Reporter: chippo305
    Contributor: 
    MantisID: 11139
    --------------------------------
  • 0 in reply to BarryG
    Hi, have you also checked the IPS logs?


    Hi Barry, Yes I have. There doesn't seem to be any related entries generated in the IPS log when I try and login to SSH. There are unrelated "Ping Flood" warnings coming from an internal monitoring server. 

    IPS is set to warn, not drop. I have also tried turning IPS off which made no change.

    I've also taken a quick glance at all log files updated "Today" or "Now" and there doesn't appear to be anything else generated when trying to login - other than the packet filter log which I've already posted.

    If there is any more information you need to determine if this is a general issue or specific to my setup, please ask.
  • 0 in reply to chippo305
    As an aside, enabling SSH shell access in the astaro system settings forces all SSH attempts (on the WAN and all Additional IPs) to connect to the astaro console.

    If this is also happening with the SSH Shell access disabled then it would explain why my SSH connection attempts are failing.
  • 0
    Please check your DNAT rules. It's likely a redirection of ssh traffic to the ASG itself.
  • 0
    i have the same problem. i can't reach my server behind the astaro any more. this was working fine before the 7.480 update.

    NO rules are being changed!

    this is what the live log shows:

    09:25:38  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:25  SSH connection attempt  TCP 
    193.128.***.198  :  23446
    → 
    78.86.187.***  :  22

    [SYN]  len=48  ttl=116  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:26  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:28  SSH connection attempt  TCP 
    193.128.***.198  :  23446
    → 
    78.86.187.***  :  22

    [SYN]  len=48  ttl=116  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:31  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:32  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:28:34  SSH connection attempt  TCP 
    193.128.***.198  :  23446
    → 
    78.86.187.***  :  22

    [SYN]  len=48  ttl=116  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05
    09:31:31  Default DROP  ICMP 
    80.172.10.18      
    → 
    78.86.187.***      

    len=56  ttl=145  tos=0x00  srcmac=00:00:00:00:00:00  dstmac=00:30:18:af:1d:05

    again NO rule / DNAT changes are being made other then the update from 7.470 to 7.480.

    turning IPS of has no affect and gives the same result.

    by changing the "SSH daemon listen port" on Astaro from 22 to something else it's start to work again. i'm very sure that i ddn't change this as it was possible to SSH to my web server on the DMZ and then SSH back to Astaro. i only allow SSH from known IP numbers to my web server and not directly to the Astaro what is bad security practish.

    so something has being changed the way version 7.480 is working different from the previous versions!
  • 0 in reply to chippo305
    As an aside, enabling SSH shell access in the astaro system settings forces all SSH attempts (on the WAN and all Additional IPs) to connect to the astaro console.

    If this is also happening with the SSH Shell access disabled then it would explain why my SSH connection attempts are failing.


    i disagree with this as this was working before... see my previous post.
  • 0 in reply to ee-tra
    Please check your DNAT rules. It's likely a redirection of ssh traffic to the ASG itself.


    still the same DNAT rule as before:
  • 0
    Can someone please post the respective line
    /var/log/packetfilter.log?  

    Intresting part is "fwrule" showing which rule drops the packets. This is
    not included in the Live Log.
  • 0 in reply to ee-tra
    Can someone please post the respective line
    /var/log/packetfilter.log?  

    Intresting part is "fwrule" showing which rule drops the packets. This is
    not included in the Live Log.


    sure but of this change i can only do this when local. so that will be this evening.
Unfiltered HTML