Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 6511 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ARRGHHH - Astaro blocking certain site all of the sudden - please help

edwelly
Hey guys. I am about ready to remove the Astaro… ARGHHH. I haven’t posted here in some time as it has been running super smooth, but over the past few days, everything just went to crap. Here is what has taken place – about 2 days ago I started having issues FTP’ing into my personal web site. I could FTP in about 1 out of every 5 tries. Then it just stopped working altogether. So I opened a work order with GoDaddy thinking it was on their end. Today I come home and I cannot get on any of my sites that are on GoDaddy. Not sure why it has decided to block just my site as other sites are working without issue. I have a couple hundred favorites and I just started randomly checking those and I found no issues other than MY sites.  

 2009:11:04-17:44:30 Firewall httpproxy[4169]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.1.100" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2145" time="61025 ms" request="0xb2292308" url="www.dwellydesigns.com/" exceptions="av,auth,content,url" error=""


I have tried to make as many exceptions as I can and nothing seems to work. I love the Astaro, but I have to be able to access these site more than I need to use the Astaro. Can anyone please help me here?  BTW, I am running firmware 7.501 – thanks!!!

Erik

P.S. I did try using the search function and I tried several thing, just couldn't get any of them to work...


This thread was automatically locked due to age.
  • 0
    Anybody? I downloaded 7.402 last night but I really didn't want to revert back if possible. I still have plenty of back up files so that's not an issue. Just hoping to fix this 7.501 if possible.
  • 0 in reply to edwelly
    If that site is the only site you are having the issue why don't you just bypass the proxy for and create a packet filter exception for the ports needed. Than add to the browser to bypass proxy for that site. Seems the fastest and simplest.
  • 0
    I have to be honest here, I not really sure how to do all of that. Here is wast I have done thus far: I created an exception for it in the HTTP/S and even tried the Transparent mode skip list.
    So how would you create a packet filter for say the site of Yahoo! - 
    And you also said to add to the browser to bypass proxy for that site - I thought ALL traffic had to go thru the proxy? I mean my setup is cable modem > Astaro firewall > switch > computers.

    Hack, maybe I making this too complicated??? Sorry for sounding like such a newb here.
  • 0
    Oh and thanks for the reply!!!
  • 0
    Ed, please look in the 'Content Filter (HTTP)' log for what is causing the block.  If you see a line with a small packet size but thousands of milliseconds, then look in the Intrusion Protection log.  That should tell you if there's an IPS rule to disable.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I understood everything but this part: That should tell you if there's an IPS rule to disable.

    Can you explain it in simpler terms. 

    *DISCLAIMER: when I originally setup the firewall, I set up all kinds of rules and exceptions. But it has been running fine for over a year now and I haven't had to do anything really to it. Sorry I have forgotten so much that I already learned. PLUS - I have a 1year old now so my time is slightly limited now [:)]
  • 0
    IPS = "Intrusion Protecion System" - in 'Network Security', look on the 'Advanced' tab where you can disable the "sid" mentioned in the Intrusion Prevention log.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob - you rock!!! Thanks for always helping me when I need it. I really do appreciate it!!!
  • 0
    Ok - when I try and request my site: dwellydesigns.com, this is what the Content Filter in the HTTP/S log file shows 
    2009:11:05-20:09:17 Firewall httpproxy[2059]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.1.100" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2183" time="62067 ms" request="0xb2207d10" url="www.dwellydesigns.com/" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services" 

    And here is the IPS log 
    2009:11:05-08:14:58 Firewall snort[9696]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="LAND Attack, sameip detected" group="242" srcip="192.168.1.70" dstip="192.168.1.70" proto="6" srcport="3500" dstport="80" sid="200012" class="" priority="0"  generator="1" msgid="0"

    2009:11:05-08:15:14 Firewall snort[9696]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="LAND Attack, sameip detected" group="242" srcip="192.168.1.70" dstip="192.168.1.70" proto="6" srcport="3501" dstport="443" sid="200012" class="" priority="0"  generator="1" msgid="0"


    Any suggestions?
  • 0
    Ok, I just bypassed the Astaro completely and I was able to access my sites without issue so I know it is the Astaro and not my ISP.