Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3558 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Alfresco & ASG 8.202

Fir3wall
I tried to configure my Astaro ASG 8.202 to permit web access to my Alfresco CMS server with no success!!!!!
The service is accessible trough port 8443 (SSL).

In the image below my firewall and Nat config 

This is what I get from firewall log:

/var/log/packetfilter/2011/11/packetfilter-2011-11-29.log.gz:2011:11:29-09:14:18 ****** ulogd[5600]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="eth1" srcmac="0:c:29:XX:XX:XX" dstmac="0:50:XX:XX:XX" srcip="192.168.1.35" dstip="XX.18.194.XX" proto="6" length="1470" tos="0x00" prec="0x00" ttl="63" srcport="8443" dstport="52421" tcpflags="ACK"
/var/log/packetfilter/2011/11/packetfilter-2011-11-29.log.gz:2011:11:29-09:15:11 ****** ulogd[5600]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:1f:33:XX:XX:XX" dstmac="0:c:29:XX:XX:XX" srcip="XX.18.194.XX" dstip="XX.37.150.XX" proto="6" length="40" tos="0x00" prec="0x00" ttl="105" srcport="52421" dstport="8443" tcpflags="ACK RST"

I don't understand why I get a dropped packet if the rule permit 8443 packet in/out.

Any idea?

Regards
Alex


This thread was automatically locked due to age.
  • 0
    I'm confused about what you want to do. I think the DNAT is probably not what you want, and that you probably don't need the two firewall rules. Is this an application that has it's own special client, or is this an internal server that communicates with Alfresco, or ???  Does Alfresco (outside your network) need to initiate contact with any device inside your network?

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    The Alfresco server is inside my network with IP 192.168.1.35, I want to access it trough web via https (Alfresco https default port 8443).
    I get no problem inside my network but from the web I'm not able to estabilish a good communication (packet arrive but dropped).
    I did exactly the same operation with other service (DNAT& firewall rule) but with Alfresco I get no success. [:S]
    The Alfresco users are a network group with defined host IP that are allowed to access the server.
    Let me know if you need other info to help me.

    Regards
    Alex
  • 0
    OK, I had that completely backwards. [:)]

    Unless the Alfresco server inititates contacxt with the outside world, you don't need Firewall Rule #1.  Since you have the 'Automatic firewall rule' checked in the DNAT, you don't need Firewall Rule #3.

    In a NAT rule, it's a good habit to leave blank any field that isn't changed.  In the case of individual services, that's not important, but, whenever service Groups are used, the NAT rule won't work if the 'Destination service' field isn't blank or contains only a single Service.

    In Host/Network definitions, never bind one to a specific interface - always leave it set on 'Interface: >'.

    Either one of these last two could be your problem, but, I wonder if it isn't the following:

    I assume that XX.18.194.XX is the IP of the client in the Internet, XX.37.150.XX is the External IP of your Astaro and 192.168.1.35 is your Alfresco server.  I guess that the first drop is because is your server took too long to respond to the user's request, so the Astaro has already forgotten about the connection.  The second line looks like the user trying to restart a failed connection, but the Firewall isn't allowing that.  All that to say that my guess is that your problem is in your Alfreco server and why it's so slow to respond.  Someone more versed in TCP might have a better interpretation though.

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok I'll try again with your suggestion.......but I'm sure that the various permutation that I tried [:D] cover also this case.
    The server with an internal request is fast but outside I get a very slow response and timeout.
    I'll try and report again.
    I forgot to tell you that I get this problem also if I connect trough SSL VPN.

    Thank you for support

    Regards
    Alex
  • 0
    Whenever you see unusual things, always check the Intrusion Prevention log even if you don't have IPS turned on.

    Cheers - Bob
  • 0 in reply to BAlfson
    I tried your suggestion but nothing [:(]
    IPS disabled.
    In the image below the only log that appear on firewall.

    Any new idea?

    Regards
    Alex
  • 0 in reply to Fir3wall
    Also the host matched any in network definition-->interface(image below).
    Also the single network host of the alfresco user group is set on 'Interface: >'.
     

    Regards
    Alex
  • 0
    The IPS log also records Flooding, so look there even if IPS is not enabled.  The Firewall log indicates that the user's request is being sent to the server. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    No logs into IPS [:(]
    Do you think that I can try "Web Application Firewall" feature, or FullNAT [:S] instead DNAT???

    Regards
    Alex
  • 0
    I think FullNAT will not solve the problem. 

    Is it maybe a routing issue - is the ASG the default gateway of the Alfresco Host or is it reachable from that host?

    Regards
    Manfred