Thread Info
  • State Not Answered
  • Replies 15 replies
  • Subscribers 0 subscribers
  • Views 2351 views
  • Users 0 members are here
Options
Suggested

[4.720] Bugs Sighted

BarryG
I'm posting these here cause I don't know where else to send them... is there a bugzilla page, or an email address for bug reports?

BUG 1 
while configuring ASL4.72, I had a tail process running on the logs.

After adding some networks to the accounting reports, I started seeing this:
 Code:
2004:02:29-05:16:23 (none) middleware[477]: modules::Config::Changed() => Not a array reference!
2004:02:29-05:16:23 (none) middleware[477]: modules::Config at /PerlApp/modules/Config.pm line 395.
2004:02:29-05:16:23 (none) middleware[477]: 
2004:02:29-05:16:23 (none) middleware[477]: modules::Error::Error
2004:02:29-05:16:23 (none) middleware[477]: modules::Config::Changed
2004:02:29-05:16:23 (none) middleware[477]: modules::Config::load
2004:02:29-05:16:23 (none) middleware[477]: 
2004:02:29-05:16:23 (none) middleware[477]: ==================================
2004:02:29-05:16:24 (none) middleware[477]: modules::Config::Changed() => Not a array reference!
2004:02:29-05:16:24 (none) middleware[477]: modules::Config at /PerlApp/modules/Config.pm line 395.
2004:02:29-05:16:24 (none) middleware[477]: 
2004:02:29-05:16:24 (none) middleware[477]: modules::Error::Error
2004:02:29-05:16:24 (none) middleware[477]: modules::Config::Changed
2004:02:29-05:16:24 (none) middleware[477]: modules::Config::load
2004:02:29-05:16:24 (none) middleware[477]: 
2004:02:29-05:16:24 (none) middleware[477]: =====================================

This repeats every second or so forever!
Rebooting seems to have fixed this for now.


BUG2 - SERIOUS
Web interface quit responding during setup. 
Logs show packets to 443 are being dropped.
Rebooting didn't help!
ping worked in both directions (pc to firewall, firewall to pc)
Happened shortly after turning on IPS and setting it to drop things.
I believe I also had just turned on the SYN flood protection.
No emails were sent or are in queue, so I'm not sure if it was IPS that caused it.
checked snort... was running... killing it didn't help.
I had to manually flush & create new iptables rules to regain access as rebooting didn't help!.
turned off IPS... rebooted... working now.
I haven't tried playing with IPS again.
Whatever this is was almost a showstopper for me as I had spent 3 hours installing and configuring and hadn't saved a backup yet (as I wasn't done). If I hadn't figured out how to manually reset IPTables, I might have given up.
When things like this happen, an emergency command-line interface to shutdown features would be nice. See RedHat's "chkconfig", "service --status-all", "ntsysv", etc. (Yes, I know these are SYSV init tools. Make something similar if it doesn't exist, or simply provide some documentation on how to stop features manually. I know how to kill the perl programs, but I didn't know what to do about this problem.)
Of course, that assumes I made a mistake when I set the IPS to drop, and not that there was just some wierd bug.
If I did make a mistake, it wasn't clear to me that it would/could cause total filtering of the webmin port.

BUG 3
Shutdown & Restart don't do anything from the Web Interface.
"reboot" works fine from command line.


BUG 4
Lots of quirks in the web interface. 
e.g. change an email on the first page, and hit ENTER on your keyboard... change doesn't get saved. this kind of thing occurs in many sections of web interface.
e.g. TAB order is wrong on many pages. (this is an html thing)


BUG 5
spamd is running, even though I have POP3 and SMTP proxies disabled. It is using 19MB of RAM, so it'd be nice if it weren't running.

I have also witnessed multiple mdw_daemon.pl instances running simultaneously. Rebooting seems to have fixed it for now.


BUG 6
Viewing PF log is killing my browser (Moz 1.6).
It looks like there are no linebreaks between lines in the log.
BR's are NOT enough... you MUST also add linefeeds (\n in perl)


Other Comments:
Making changes with web interface is VERY slow compared to 4.17 and even 3.x.
e.g. each click in the PF Rules page takes 7-20 seconds!
I'm currently using ASL 3.x on a P5 and a PIII. Runs pretty good.
Installed & configured ASL4.17 on a PII-500 today... interface is quite smooth.
Erased HD and installed 4.720. VERY slow making ANY changes via web interface. Computer has 192MB RAM, and free, top, etc show it is using about 120, and the computer is NOT swapping much (swap usage currently 2.1MB)
Tailing the log files while using the web interface is interesting and explains some of the slowness, but speed needs to be vastly improved.

I realize the recommended requirements are higher for this version, but this is excessively slow and I don't think upgrading to 900MHz would make much difference. (it would still be much slower than 4.x and even 3.x which was slow.)
I'll assume for now that we can expect substantial improvements by 5.0 final.

Also, when I was initially configuring it, a lot of times the web interface would seem to hang after a change. Unfortunately, hitting the browsers stop button makes things MUCH worse, as then none of the links work anymore (seems to have to do wit h the way the interface uses JS, I believe).
This got much better after I rebooted ASL, but things are still quite slow.


BTW, THANK YOU for adding inline snort!.
Will this be included in the home user and/or "professional" license?
Also, would it be possible to also have it log to a remote MySQL DB? I've already set this up myself in ASL 3.x (Snort + remote ACID), and it was easy.

Thanks,
Barry Gould
ASL user since 2.x. 
Power User at Home, 50-ip Professional License at work
              
  • 0
    thanx for posting this detailed report! [:)]answers...

    bug1:
    can you tell me what you added exactly? I'll need to reproduce the bug to get a fix for this... 

    bug2:
    /etc/wfe/conf/snort* (3 files) are the right place to disable the feature if webadmin does not respond when testing some new stuff...
    in doubt, empty the files completely ... (this is for snort only, do not do this with other files)

    bug3:
    worked here, will have a closer look. is there a /etc/wfe/conf/reboot file on your system?

    bug 4:
    we know about this..

    bug 5:
    will check this

    bug 6:
    running Mozilla 1.6 on linux here without problems.. do you use windows or linux?

    cheers
    ~marcel 
  • 0 in reply to Marcel_01
    Hi Marcel,

    1:
     I had already turned on accounting for INT, DMZ, and EXT interfaces.
    In Reporting, I added accounting to:
    Internal Network
    DMZ server (host 10.0.0.10)
    friends (group of hosts + 1 class B network (remote) + INT NETWORK)
    workstation (host in INT)
    newsserver (external ISP nntp host)

    After that, it started getting that repeating error message.

    I now realize I probably shouldn't have INT network in friends, but it probably still shouldn't have caused the loop bug.

    I have also seen that error, or a similar one, go by in the logs occasionally when making other changes.


    2: thanks.


    3:
    no reboot file currently.
    trying to reboot from web interface again:
    It's rebooting now. It didn't last time; had to use "reboot" command from console.


    6: Mozilla 1.6 on Windows 2000
    Mozilla uses about 40-60MB normally. When I tried to view PF log, it thrashed and thrashed and Task Manager showed it at over 200MB!
    Closing that window brought it back to 40MB.
    Please check the linefeeds. I tried to look at the page source, but it never came up all the way.
    I'm looking at the source of the log query for the PFLog right now...
    the data is all one line (no newlines) (look at the last line of the page source)
    (There are BR's, but you need to have newlines also or many browsers will barf.)


    Thanks,
    Barry  
  • 0 in reply to Marcel_01
    some more bugs:


    7: Dropped Netbios packets are still getting logged.
    I created a NetBios group and a Broadcasts group, and have a PF set to:
    any netbios broadcasts Drop no-log
    but NetBios broadcasts are still getting logged (in the PF LiveLog):
    2004:03:01-10:57:51 (none) kernel: DROP: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:04[:D]9:89:bb:08:00 SRC=192.168.11.13 DST=192.168.11.255 LEN=240 TOS=0x00 PREC=0x00 TTL=128 ID=47249 PROTO=UDP SPT=138 DPT=138 LEN=220


    8: SSH seems to have died.
    I was using SSH earlier today, then rebooted from web interface, and now I can't SSH. 
    SSH client says "Connection Refused".
    Nothing on port 22 is showing in PF livelog.
    Clicking Disable/Enable on SSH on Settings Page doesn't help.
    I don't have physical access to the console right now, but ssh or sshd do NOT show up in the "Process List".
    I'll try rebooting again.


    9: just got an Internal Server Error.
    I was on the Logs page, and I clicked on Packet Filter on the main (left) navigation menu. I didn't click on one of the slide out menus, just on the main "Packet Filter" link.
    Afer that, the broswer showed a white screen with "internal server error". I didn't try hitting reload, I inadvertently went back to the login screen.


    10: Time display wrong in browser.
    The time display in the browser seems to be in UTC.
    I told ASL during install to use Los Angeles, and on the console, the time shows local time, but in the Browser it's UTC.
    I haven't had it sync with a NTP server yet, but it seems right in the console.

    BTW, all the def's for the NTP Time servers are missing from netdefs.


    11: filter on PF Live Log doesn't seem to be working.
    I entered 
    DPT=22
    and hit enter, and it hasn't applied the filter.

    Filter on log query for PFlog IS working.


    Thanks,
    Barry  
  • 0 in reply to BarryG
    Hi Barry.

    Bug 1: Please remove friends, that should fix it.
    group support was broken. should work in next beta.

    Bug 2 and Bug 3 happen because of Bug 1.

    Daniel  
  • 0 in reply to BarryG
    Hi Barry.

    7: Please try.
    Any - Netbios - Internal Broadcast - Drop 
    (or, instead of Internal the name of the interface that has 192.168.11.255 as its broadcast address)

    Daniel
      
  • 0 in reply to anonymous_02
    Hi Daniel,

    On 1.,
    When you say groups are broken, do you mean in accounting?

    On 7.,
    I actually have a Broadcast Group which includes Internal Broadcast and External Broadcast.

    That works fine in 3.x, so I'm not sure why it's not working, unless that's part of the groups being broken (doubtful).

    Thanks,
    Barry
      
  • 0 in reply to BarryG
    Re 8: SSH
    Rebooted again, SSH is still not running.
    Last entry in sshd.log is from 11am which is from an earlier reboot.

    Disabling/enabling SSH in settings isn't doing anything.

    rebooting again:
    durring boot, I see "starting ssh" under runlevel 2... it says "done"
    SSH still isn't running though when I login and run
    ps aux | grep -i ssh
    and I still get "connection refused"

    Barry
       
  • 0 in reply to BarryG
    Another bug:

    12: file system check
    The filesystem check is running everytime I reboot or halt.
    The system IS shutting down cleanly, so it shouldn't be necessary.

    Thanks,
    Barry  
  • 0 in reply to BarryG
    Barry,

    yes, i mean accounting.

    Have you removed friends from accounting?

    7 should be a aftereffect of a looping MiddleWare, because the drop rules in USR_INPUT never get set.

    Could you please verify that.

    Thank you

    Daniel
      
  • 0 in reply to Marcel_01
    bug5:
    confirmend and fixed in next beta

    ~marcel 
Cookie Information Banner