Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 15731 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Streaming media server not visible outside firewall

mmonclair
We had a server outage last week that took down a number of assets we had. After restoring the server, and making sure our network security rules for the firewall and DNAT/SNAT rules were consistent with the state of the server, we found that a number of sites not using Port 80, like FTP, Email and Media Streaming were not connecting through the firewall. After restarting our Active Directory server, the connections to FTP and Email started working, but not Media Streaming, on Port 8080. I can access it from inside the firewall, but not from outside of it. I checked the DNAT rule we had for it, and the External IP address set for the Traffic Destination is correct, and the server name for the Destination shows the correct internal IP address. I have tried setting the Traffic Service to the Media Streaming w/HTTP group (which was the setting for the rule already in place), Media Streaming group, and even just indicating MMS (the server uses Windows Media Server). I tried setting up a copy of the MMS service pointing to Port 8080. None of these worked.

I have checked the Active Directory server handling the internal IP addresses for the servers it manages. The internal IP for the WMS server is consistent with what is indicated in the server name referenced in the DNAT rule. And, as I mentioned earlier, I can send a successful request to the server from inside the firewall, so I have eliminated problems with the IIS site definition and bindings and do not think the problem is with our internal server routing. 

I am trying to nail down whether this is a problem with Active Directory's management of the internal IP for this server or with Astaro (v8, in my case).

For the sake of disclosure, my normal function is in software development, my expertise in firewall and server management is limited.


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    Try #s 3 through 5 in Rulz.  Also, I wonder if you need Accessing Internal or DMZ Webserver from Internal Network.  Any luck?

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks much for your reply. I verified that my definitions complied with Rules 3-5. I did find that setting up a Full NAT rule, as suggested in the article you linked to, does allow me to get across the firewall to the site... sort of. What is happening now are the following:

    1. The HTTP request is not being directed straight to port 8080 from the firewall.  I checked in the internal server to verify that HTTP requests were bound to port 8080.
    2. If I append :8080 to the domain, I am directed to port 8080, and any files on the root directory of the site.
    3. If I try to access files on any subordinate folders (like /img) or logical folders created in the Window Media Server, I get a 404 Error. If I do not explicitly state the port for the request, I get a generic 404 Error. If I append port 8080, I get the custom 404 page we have at that site.
    4. Just to make sure there wasn't a problem with our server, I sent a request for a WMS file from within the firewall and it resolved correctly.
    5. The service I choose for the NAT rule makes no difference in behavior.



    I feel like I am headed in the right direction, but there's more to be done.
  • 0
    The default port for the Standard mode in Web Protection is port 8080.  What happens if you enable Web Protection, go to the 'Advanced' tab and change to port 8081?  Also, let's look at your NAT rule - click on [Go Advanced] below and attach a picture of it.

    Cheers - Bob
  • 0 in reply to BAlfson
    Do you mean the Web Security >  Web Filtering > Advanced tab? Our license does not have this enabled. Is there somewhere else I can check or test this?

    I've attached a screen shot of the rule I have set. As I mentioned, it now does allow the site to be accessed from outside the firewall, but only if I append port 8080, and the streaming server still cannot send back content.
  • 0
    Your DNAT doesn't apply to port 8080 traffic - I think that was your problem.  Instead of "HTTP" in 'Traffic Service', try "Web Surfing."

    Cheers - Bob
  • 0 in reply to BAlfson
    That didn't do it. I also tried Media Streaming and (just for the sake of trying) Media Streaming w/HTTP. Neither worked. I had even created a copy of the MMS service definition and pointed it to port 8080 (see attached). I added this to the group Media Streaming. Whether I use this group, or just this service, it doesn't seem to make a difference.

    I should point out that the previous DNAT rule did work for connecting to our streaming media server before our outage. Is there anything inside the firewall that might be interfering with this? I am assuming that it is related to the firewall since I can send requests successfully to the streaming media server from inside the firewall, but I am willing to consider any other possibilities.
  • 0
    I think we're down to the firewall in the web server.  What happens if you disable that?

    Cheers - Bob
  • 0 in reply to BAlfson
    I disabled the firewall on the Windows server (it had been turned on in the Domain, Private and Public Profiles). No change in access.
  • 0
    Again, port 8080 is reserved in the UTM for the HTTP Proxy, so any traffic arriving on an interface without a default gateway might get gobbled up by that.  At the command line, as root:

    cc set http port 8181


    Any luck after you do that?

    Cheers - Bob
  • 0 in reply to BAlfson
    Sorry it took me so long to get back to you. We decided to upgrade our license to be able to use the Web Security feature set, and took quite an effort between Astaro, their reseller, and ourselves to make this happen. 

    I changed the port to 8081. Good news, I can get the server's 404 Error, instead of a generic one, but I still cannot access the media server without appending port 8080 to the domain, and I cannot access the logical folder at that server.

    To recap where things stand at this point, 

    • wms.domain.com gets me domain.com's default server (on port 80)
    • wms.domain.com:8080 gets me the server hosting the Windows media server (and wants me to log in)
    • wms.domain.com/shared/some_file.wmv and wms.domain.com:8080/shared/some_file.wmv get me the internal server's 404 Error page (before changing the Web Security port to 8081, the former would yield a generic one, and the latter the internal server's 404 page)
    • wms.domain/shared/some_file.wmv works as expected when called inside the firewall