Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 1575 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Using SSH forwarding to get to WebAdmin

Greg_DePasse
I just started using ASL.  I have ASL 5.026 at home. I'd like to be able to administer it from work. Work doesn't allow outgoing VPN, so I've been using SSH (with TCP forwarding) to access the machines on my home network. When I try to access WebAdmin through the SSH tunnel I get the following message:

"Your request comes from an address used on one of the firewalls interfaces. This probably means that you access WebAdmin with one of the firewalls proxies, which is not allowed due to security considerations. Please disable the proxy for WebAdmin access and try again."

I'm not using the proxy, but the idea is the same - the SSH traffic looks like it's coming from the local machine. I have the webadmin settings allowing "any" traffic, and I can access it using both the internal and external networks.   I don't see any packet filter log events, which leads me to believe that the issue lies with webadmin/http server configuration rejecting the connection. I'm not using a proxy to connect, but I could if there is a way for that to work. 
This gets logged in the webadmin log:
2004:11:01-10:15:22 (none) webadmin[1310]: U:admin ID:0121

Is there a way to allow the WebAdmin to be accessed via a secured SSH tunnel to the local interface? It seems a lot less secure to have to open it up for "any" network vs. using SSH and TCP Forwarding.

Thanks,
Greg


This thread was automatically locked due to age.
Parents
  • 0
    You could tunnel into an DMZ or internal machine, and have port 443 forwarded to the ASL DMZ or Internal IP.

    Of course, if you are at a new location/IP, that may be difficult, depending on how you have the rules setup for SSH to DMZ or INT [:P]

    Sounds like this message is coded into the webmin application.

    Barry
  • 0 in reply to BarryG
    I've thought about that, but I don't have another machine to ssh into.  I like another poster's use of VMWare.  If I can find a home use license for that, maybe I'll give it a shot.

    As to this problem, I've narrowed it down.  I examined the error message web page frame and it appears that there might a javascript call that performs the check - something called wfe_onload() is in the line preceding the error message that I receive.  Anyone know where I can find this javascript? Of course it could also be part of index.fpl which is the referenced page later in the javascript line. When I try to view the file, I found out that it isn't a text file.  Anyone know what type of file .fpl  is (google comes up with nothing)?  

    I'm hoping there is a localhost check section somewhere that I can comment out.

    Thanks,
    Greg
  • 0 in reply to Greg_DePasse
    Astaro used to use Perl for their webmin, but now they're using some sort of compiled binaries.

    If you're a paying customer, complain to Astaro about this 'feature'.

    If not, maybe the fpl file can be decompiled or something.

    Barry
  • 0 in reply to BarryG
    Thanks Barry.

    I have a home use license, so I can't complain.  I was afraid that was the answer.  I guess I'll just have to leave it unsecured and open to the internet.

    -Greg
  • 0 in reply to Greg_DePasse
    Well, most people seem to think it's worse to leave SSH exposed anyways.

    Barry
  • 0 in reply to Greg_DePasse
    Instead of opening it to any, why not simply create a definition for your "work ip address" or hostname and move that to the allowed networks for webadmin, as such, the internet as a whole wont be able to see the webadmin login page.

    You can always alter the webadmin port, to further increase webadmins security for the application your looking for.
Reply
  • 0 in reply to Greg_DePasse
    Instead of opening it to any, why not simply create a definition for your "work ip address" or hostname and move that to the allowed networks for webadmin, as such, the internet as a whole wont be able to see the webadmin login page.

    You can always alter the webadmin port, to further increase webadmins security for the application your looking for.
Children
Cookie Information Banner