Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 16 replies
  • Subscribers 0 subscribers
  • Views 5025 views
  • Users 0 members are here
Options
Suggested

[7.180] IE7: Problems with disabled options [CONFIRMED]

bitonw
Since Yesterday (7 April) I have updated my 7.104 version to this beta 7.180 version.

The hardware of this box is an Compaq SSF PIII 500MHz with 512Mb RAM, 40Gb hard disk with Intel dual 10/100 NIC.

The Firewall is configured with a WAN, LAN and DMZ. The WAN is connected to the Internet via an ADSL Alcatel SpeedTouch in bridge mode and used fix IP number, speed about 17Mbps.

There are quite some rules on and all inbound and outbound is filtered. There is no ANY Outbound traffic possible. Outbound TCP 80 is going through the HTTP proxy and Virus scan is active. The total daily traffic lies about 1Gbps. The DMZ host a web / mail / FTP server, Skype phone and a Sat box. On the LAN a daily Internet radio playing music and some workstations with some using VPN.

The upgrade went smoothly without any major issues. It took a bit of time because of the hardware (PIII).

First impressions; Looks like this version has faster response on opening web pages.

Will update this post with more info after some time.

bt
Parents
  • 0
    just updated to the version 7.185.

    if i click on "Update to latest version now", not thing happened. when i click on "Install" it works...

    this was also with the upgrade from version 7.104 to 7.180.

    this version 7.185 looks like it has a bit higher cpu but will check this in the daily reports.
  • 0 in reply to bitonw
    just tried the IM/P2P skype option. i have a dualphone on my dmz connected with the allow rules.

    when i block the skype traffic on the dmz it stops the skype. no more contacts in the contactlist and no phone calls possible.

    but also my internet radio stopped working and then also all my traffic trough the firewall stopped working. no more inbound and outbound traffic was possible. even traffic between lan and dmz was not possible. this included ssh

    the webadmin interface was still working fine and there was no interface down.

    i had to disable / enable to get the traffic working again.

    here are some logs:

    ssh from lan to dmz
    [biton@communicator ~]$ ssh admin@172.27.x.xx
    ssh: connect to host 172.27.7.31 port 22: Connection timed out
    [biton@communicator ~]$ ssh admin@172.27.x.xx
    ssh: connect to host 172.27.7.31 port 22: Connection timed out
    [biton@communicator ~]$ ssh admin@172.27.x.xx
    ssh: connect to host 172.27.7.31 port 22: Connection timed out
    [biton@communicator ~]$ ssh admin@172.27.x.xx
    admin@172.27.x.xx's password:

    kernel live log:
    2008:04:09-22:17:43 (none) kernel: EXT3 FS on hda1, internal journal
    2008:04:09-22:19:46 (none) kernel: e100: eth0: e100_watchdog: link up, 100Mbps, full-duplex
    2008:04:09-22:19:46 (none) kernel: e100: eth2: e100_watchdog: link up, 100Mbps, full-duplex
    2008:04:09-22:19:46 (none) kernel: e100: eth1: e100_watchdog: link up, 100Mbps, full-duplex
    2008:04:09-22:20:05 (none) modprobe: FATAL: Could not load /lib/modules/2.6.16.60-65-default/modules.dep: No such file or directory
    2008:04:09-22:21:16 (none) kernel: Netfilter messages via NETLINK v0.30.
    2008:04:09-22:21:20 (none) kernel: ip_tables: (C) 2000-2006 Netfilter Core Team
    2008:04:09-22:21:20 (none) kernel: ip_conntrack version 2.4 (75521 buckets, 604168 max) - 240 bytes per conntrack
    2008:04:09-22:21:20 (none) kernel: ipt_LOG: not logging via system console since somebody else already registered for PF_INET
    2008:04:09-22:21:20 (none) kernel: ctnetlink v0.90: registering with nfnetlink.
    2008:04:09-22:21:24 (none) kernel: e100: eth0: e100_watchdog: link up, 100Mbps, full-duplex
    2008:04:09-22:21:24 (none) kernel: e100: eth2: e100_watchdog: link up, 100Mbps, full-duplex
    2008:04:09-22:22:08 (none) kernel: e100: eth0: e100_watchdog: link up, 100Mbps, full-duplex
    2008:04:09-22:22:09 (none) kernel: NET: Registered protocol family 17
    2008:04:09-22:22:14 (none) kernel: e100: eth2: e100_watchdog: link up, 100Mbps, full-duplex
    2008:04:09-22:22:14 (none) kernel: e100: eth1: e100_watchdog: link up, 100Mbps, full-duplex
    2008:04:09-22:22:16 (none) kernel: net_enable_timestamp [named]: netstamp_needed=1
    2008:04:09-22:22:16 (none) kernel: net_enable_timestamp [named]: netstamp_needed=2
    2008:04:09-22:22:16 (none) kernel: net_enable_timestamp [named]: netstamp_needed=3
    2008:04:09-22:22:16 (none) kernel: net_enable_timestamp [named]: netstamp_needed=4
    2008:04:09-22:22:16 (none) kernel: net_enable_timestamp [named]: netstamp_needed=5
    2008:04:09-22:23:31 (none) kernel: Ebtables v2.0 registered
    2008:04:09-22:23:32 (none) kernel: netfilter PSD loaded - (c) astaro AG
    2008:04:09-22:23:56 (none) kernel: parport0: PC-style at 0x378 (0x778) [PCSPP(,...)]
    2008:04:09-22:23:56 (none) kernel: parport0: PC-style at 0x378 (0x778) [PCSPP(,...)]
    2008:04:09-22:23:56 (none) kernel: parport0: irq 7 detected
    2008:04:09-22:23:57 (none) kernel: hdc: ATAPI 24X CD-ROM drive, 128kB Cache
    2008:04:09-22:23:57 (none) kernel: Uniform CD-ROM driver Revision: 3.20
    2008:04:09-22:23:58 (none) kernel: SCSI subsystem initialized
    2008:04:09-22:23:58 (none) kernel: hdc: packet command error: status=0x51 { DriveReady SeekComplete Error }
    2008:04:09-22:23:58 (none) kernel: hdc: packet command error: error=0x54 { AbortedCommand LastFailedSense=0x05 }
    2008:04:09-22:23:58 (none) kernel: ide: failed opcode was: unknown
    2008:04:09-22:23:59 (none) kernel: BIOS EDD facility v0.16 2004-Jun-25, 1 devices found
    2008:04:09-22:24:03 (none) kernel: device eth0 entered promiscuous mode
    2008:04:09-22:24:03 (none) kernel: device eth0 left promiscuous mode
    2008:04:09-22:24:03 (none) kernel: device eth0 entered promiscuous mode
    2008:04:09-22:25:07 (none) kernel: device eth0 left promiscuous mode
    2008:04:09-22:25:40 (none) kernel: device eth0 entered promiscuous mode
    2008:04:09-22:25:40 (none) kernel: device eth0 left promiscuous mode
    2008:04:09-22:25:40 (none) kernel: device eth0 entered promiscuous mode
    2008:04:09-23:08:10 (none) kernel: ip_queue: full at 1024 entries, dropping packets(s). Dropped: 1
    2008:04:09-23:08:10 (none) kernel: ip_queue: full at 1024 entries, dropping packets(s). Dropped: 2
    2008:04:09-23:08:11 (none) kernel: ip_queue: full at 1024 entries, dropping packets(s). Dropped: 3
    2008:04:09-23:08:11 (none) kernel: ip_queue: full at 1024 entries, dropping packets(s). Dropped: 4
    2008:04:09-23:08:11 (none) kernel: ip_queue: full at 1024 entries, dropping packets(s). Dropped: 5

    truncated, to long for forum message

    2008:04:09-23:27:01 (none) kernel: printk: 16 messages suppressed.
    2008:04:09-23:27:01 (none) kernel: ip_queue: full at 1024 entries, dropping packets(s). Dropped: 3217


    http live log
    2008:04:09-23:25:05 (none) httpproxy[4105]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs06.astaro.com' access time: 252ms"
    2008:04:09-23:25:05 (none) httpproxy[4105]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs07.astaro.com' access time: 283ms"
    2008:04:09-23:25:06 (none) httpproxy[4105]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs08.astaro.com' access time: 687ms"
    2008:04:09-23:35:08 (none) httpproxy[4105]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs05.astaro.com' access time: 100ms"
    2008:04:09-23:35:08 (none) httpproxy[4105]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs01.astaro.com' access time: 88ms"
    2008:04:09-23:35:08 (none) httpproxy[4105]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs02.astaro.com' access time: 93ms"
    2008:04:09-23:35:09 (none) httpproxy[4105]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs03.astaro.com' access time: 227ms"
    2008:04:09-23:35:09 (none) httpproxy[4105]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs06.astaro.com' access time: 252ms"
    2008:04:09-23:35:09 (none) httpproxy[4105]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs07.astaro.com' access time: 282ms"
    2008:04:09-23:35:10 (none) httpproxy[4105]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs08.astaro.com' access time: 855ms" 

    still not sure what went wrong. no with IM/P2P back to default all is working fine.

    the cpu was between 8% and 28% on the firewall.
  • 0 in reply to bitonw
    when the DMZ network is included in the IM/P2P settings all my inbound traffic isn't working any more (didn't check outbound but should work as my skype phone does). the setting is only log in all options.

    the moment i remove the DMZ network in IM/P2P inbound traffic is working again.

    on the DMZ are web / mail / ftp / skype / dns / ntp servers active.

    btw. just checking my web box logs and in that time (when DMZ was included in IM/P2P) there wasn't any outbound traffic possible...
  • 0 in reply to bitonw
    is this 7.185 version? if not, could you try the newer version and report back if it works with this?
  • 0 in reply to bitonw
    sorry, didn't see it [:)]

    the dropping packets could come from a hang of the afcd (astaro flow classifier). 

    if you see this dropping packets again, you can do a "strace -p `pidof afcd`" and check if afcd is stopping stops (means that you see no scrolling output).
  • 0 in reply to _alex\
    no worries alex,

    i will re-produce this problem some where this evening and do a strace -p `pidof afcd` to get some more info about this issue.

    if you need more logs just ask for it since i didn't want to post them at a public forum. also this forum doesn't allow me to post large messages. had to truncate the previous message.
  • 0 in reply to bitonw
    either you see a lot of scrolling throughput (means afcd is running) or you see no scrolling code (means afcd hangs) [:)]
  • 0 in reply to _alex\
    some stats after the upgrade to the beta version:

    10-04
    version 7.185
    traffic 1.1GB
    connections 39669   
    cpu current 11.80 average 7.59 max 98.92
    mem current 77.01 average 70.89 max 86.99
    swap current 10.00m average 10.00m max 10.00m
    connections current 45.17 average 252.26 max 666.99
    lan in current 11.77k average 6.34k max 40.65k
    lan out current 12.92k average 34.45k max 405.03k
    wan in current 11.58k average 48.56k max 879.61k
    wan out current 10.12k average 34.81k max 984.01k
    dmz in current 274.86 average 28.92k max 980.99k
    dmz out current 207.94 average 2.21k max 21.11k
    p filter current 56.69 average 9.89 max 75.82
    sec web req current 0.00 average 8.32 max 247.42
    sec web av bl current 0.00 average 0.00 max 0.00
    sec web url bl current 0.00 average 0.00 max 0.00


    09-04
    version 7..185
    traffic 1.1GB
    connections 24670
    cpu current 14.18 average 6.74 max 53.16
    mem current 74.43 average 79.57 max 87.15
    swap current 10.00m average 2,25 max 7.67
    connections current 31.06 average 50.79 max 639.99
    lan in current 37.75k average 6.92k max 37.75k
    lan out current 38.15k average 31.69k max 551.77k
    wan in current 9.22k average 37.83k max 465.54k
    wan out current 5.14k average 6.94k max 235.18k
    dmz in current 205.10 average 1.61k max 228.08k
    dmz out current 111.01 average 522.86 max 21.77k
    p filter current 3.99 average 3.54 max 233.04
    sec web req current 44.68 average 11.48 max 256.21
    sec web av bl current 0.00 average 0.00 max 0.00
    sec web url bl current 0.00 average 0.00 max 0.00


    08-04
    version 7.180
    traffic 441.3 MB
    connections 22124
    cpu current 7.02 average 6.14 max 30.39
    mem current 82.17 average 75.47 max 82.62
    swap current 10.00m average 10.00m max 10.10m
    connections current 33.02 average 33.19 max 92.47
    lan in current 13.84k average 6.51k max 33.35k
    lan out current 139.30k average 34.12k max 667.71k
    wan in current 138.23k average 35.49k max 775.64k
    wan out current 5.09k average 9.32k max 806.36k
    dmz in current 166.12 average 4.04k max 795.82k
    dmz out current 839.00m average 586.76 max 26.34k
    p filter current 0.00 average 3.20 max 30.78
    sec web req current 0.00 average 10.46 max 200.74
    sec web av bl current 0.00 average 0.00 max 0.00
    sec web url bl current 0.00 average 0.00 max 0.00


    07-04
    version 7.180
    traffic 627.7 MB
    connections 22100
    cpu current 4.10 average 10.17 max 100.00
    mem current 71.77 average 73.17 max 94.71
    swap current 10.00m average 3.63 max 74.14
    connections current 30.01 average 34.01 max 89.58
    lan in current 3.16k average 5.85k max 42.79k
    lan out current 10.79k average 15.08k max 497.07k
    wan in current 10.83k average 25.12k max 531.74k
    wan out current 3.23k average 17.02k max 1.12m
    dmz in current 113.64 average 11.13k max 1.11m
    dmz out current 64.99 average 648.55 max 28.57k
    p filter current 18.20m average 2.03 max 203.93
    sec web req current 0.00 average 5.50 max 402.00
    sec web av bl current 0.00 average 0.00 max 0.00
    sec web url bl current 0.00 average 0.00 max 0.00
  • 0 in reply to bitonw
    Now as test i have again included the DMZ in IM/P2P and set every thing on log. Looking at the Live Log: Astaro Flow Classifier, I can see the Skype phone being logged. As I can write this message I still have Outbound traffic. Also Inbound traffic still works since my email server receives email. CPU at about 27%
  • 0 in reply to bitonw
    now with Skype "Block completely" still have full In and Outbound traffic. the Skype phone on the DMZ isn't working any more. it still being logged in but i cannot make any Skype phone calls.

    next test was to change Skype to "Block file transfers". now i get this message: "One of the values you entered is syntactically or logically incorrect." well technically it's correct since with this Skype phone you can't write messages and send or receive files as a normal pc Skype client can do...

    after you click on the OK bottom it look all OK but when you check this setting again it back on "Log". Even the message "IM control settings saved successfully"... shows. it actually goes back to the latest setting, so just ignores your setting.
Reply
  • 0 in reply to bitonw
    now with Skype "Block completely" still have full In and Outbound traffic. the Skype phone on the DMZ isn't working any more. it still being logged in but i cannot make any Skype phone calls.

    next test was to change Skype to "Block file transfers". now i get this message: "One of the values you entered is syntactically or logically incorrect." well technically it's correct since with this Skype phone you can't write messages and send or receive files as a normal pc Skype client can do...

    after you click on the OK bottom it look all OK but when you check this setting again it back on "Log". Even the message "IM control settings saved successfully"... shows. it actually goes back to the latest setting, so just ignores your setting.
Children
Unfiltered HTML