Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1741 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

End user portal asnwering on several public IP addresses

kwyrick
I have a 220 on version 7.401. Updated today from 7.4 to see if it would resolve my issue but it didn't.

 I have the End User Portal enabled. The problem is that the end user portal is accessible on any ip address setup as an additional address for the ETH1 interface.
 If I have a secure server listening on port 443, it works. If no server is listening on port 443, the user portal comes up. This apparently only happens for IP addresses configured as additional addresses for ETH1.
The additional addresses configured for ETH1 are a web server, smtp server and application server listening on a reserved port. Of these, only the web server listens on port 443. That one works fine. The other two address do not listen on 443 and the end user portal comes up when those are accessed via browser.
 I checked my packet filters and NAT and I am only allowing specific ports for dnat traffic.

Any insight would be greatly appreciated.


This thread was automatically locked due to age.
  • 0
    I think this is definitely an "unintended feature" of Additional Addresses.  You also can get to the WebAdmin on 4444 via those addresses.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I was affraid of that. It's skewing my penetration / vulnerability test results. I paid a LOT for that test to be ran. So much for having a firewall on those addresses. I was under the impression a FIREWALL was to block access to ports UNLESS SPECIFICALLY opened for traffic. 
     I'm going to play around with the packet filter to see if I can block the UNWANTED traffic. Does anyone know if this is going to be fixed?
  • 0 in reply to kwyrick
    I haven't tried it, but maybe a DNAT that's essentially a null-route would solve the problem best as those rules are evaluated before the packet filter rules.

    Also, if you don't want to have the Astaro responding at all, you can, in essence, leave 'Allowed Networks' in WebAdmin with only 'Internal (Network)'.  Create a DynDNS address like astaromydomain.dndns.org with the Public IP of the firewall itself and add this to the 'Allowed Networks'.  When you want to access the Astaro from the outside, you only need change the IP at dyndns.org to the one you'll be using.

    Please let us know the solution you find.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    It would be a good idea for Astaro to allow us to bind the Apache Webadmin and Userportal processes to particular interface IPs, as opposed to the current "all or nothing" approach... hopefully they are working on this.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Cookie Information Banner