Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1346 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

7.004 Proxy Stopped Working

ReelGaming
I run a proxy server here behind my Astaro 7.004 Firewall.  
approx 2 weeks ago (7.003 update), it stopped working.

Under Network Security >> Advanced >> Generic Proxy - I have a rule that states that:
External Interface:
Service : HTTP Proxy 1-65535:8080

Host : my internal proxy server
Service : HTTP Proxy 1-65535:8080

Allowed Networks: Any

My Logs show this message (I have edited addresses)
12:03:20  Default DROP  TCP 
***.***.***.x :3003→ 68.208.***.*** :8080 [SYN]  len=48  ttl=128  tos=0x00  srcmac=00:xx:92:xx:xx:ac  dstmac=00:xx[:D]4:xx:8a:bf

Obviously, my astaro is dropping these packets instead of sending them on.  Any Ideas?


This thread was automatically locked due to age.
  • 0 in reply to PabloDiablo
    Same here see thread https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/43343

    Seems odd, doesn't it?

    My biggest concern is that the logs show that port 8080 tcp is dropped by default, when clearly that is not the action for that port that I have set.
  • 0
    "Under Network Security >> Packet Filter - I have rules relating to this proxy server.
    1 rule allows HTTP Proxy traffic through to the internal proxy server while another rule allows traffic out."

    AFAIK, Packet filter rules only apply to forwarded traffic, so no rules that you make in the packet filter will have anything to do with traffic destined for services running on the firewall itself (difference between FORWARD and INPUT tables in iptables).  The input rules (rules which control what happens to packets destined for the firewall itself) in an Astaro are managed automagically by the middleware.  Prior to v7 you could view these rules in the web interface but I can't find anywhere to do so in the new interface.  You can see them from the shell by typing "iptables -L AUTO_INPUT"

    If you do not see a rule here to allow the traffic to local port 8080, then that would explain why you see it dropped in the logs.  A quick test to see if that is the problem would be to temporarily flush the entire INPUT table and allow the traffic in manually (do not do in production).

    At the shell as root, do 

    iptables -P INPUT ACCEPT
    iptables -F INPUT  

    If you can suddenly access the proxy server again, then you know that the problem is in the automatic input table.  I have seen times when the Astaro's middleware in unable to correctly manage this table before.  Most often it is caused by a very strange definition somewhere that ultimately leads to iptables refusing to accept the commands the middleware attemtps to give it.

    You can narrow things down by manipulating services which in turn *should* change the entries in the AUTO_INPUT table.  For instance turning on the PPTP server should cause an entry allowing traffic to port 1723 for each allowed network, or turning on SMTP proxy will add a rule for port 25 etc.  

    Anyways hope that helps you figure it out.  Sometimes the middleware logs will also have big clues to what is causing the tables to be out of sync with the web interface.  Definately check your service and network defines for strange things and typos.

    If you do flush the input table with the commands above, be sure to reboot the firewall shortly thereafter.  Your firewall is not secure after issuing those commands.

    -Aaron