Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 20 replies
  • Subscribers 0 subscribers
  • Views 7616 views
  • Users 0 members are here
Options
Suggested

[8.270][NOTABUG][CLOSED] Services restarting

BAlfson
Beginning a little over 9 hours ago, I got the first of 42 messages:

12:28 Middleware not running - restarted
12:28 IM/P2P classifier not running - restarted
12:30 Dhcpd not running - restarted
01:04 Spam filter cannot query database servers
01:29 Dhcpd not running - restarted
01:31 Middleware not running - restarted
[...]
02:39 Service Monitor not running - restarted
[...]
04:22 ACC device agent not running - restarted
[...]
08:41 IM/P2P classifier not running - restarted



After that my laptop could not connect via any VPN, nor could I get answers to ping.  The same was true with my iPhone via the cellular network.

Cheers - Bob
Parents
  • 0
    The mystery deepens.  My original post showed that the issue began at 00:28 on 2011-11-18.  At 00:28:09 in the Firewall log, it began to fill (over 830K lines) with drops of DNS requests from the Astaro itself - including even requests to the two OpenDNS forwarders specifically used in the DNS Proxy and our own internal DNS!  Then, abruptly at 14:24:38, the last offending line was to our internal DNS: 
    2011:11:18-14:24:38 post ulogd[5037]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:50:8b:xx:xx:zz" srcip="10.zz.zz.34" dstip="10.zz.zz.7" proto="17" length="93" tos="0x00" prec="0x00" ttl="64" srcport="51946" dstport="53"


    This recommeced at 00:21:19 on the 20th, and didn't slow down until I restored from the 2011-11-16 backup at 11:19.  It was not until another reboot at 12:01 that these crazy entries went away.

    Cheers - Bob
    PS Ouch!  I just noticed that today's DNS log is 237MB (yes MB) - I doubt I could open that successfully with Notepad++.  Searching the file, it appears that all of the entries are network unreachable - no surprise since the firewall was blocking the requests!
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    The mystery deepens.  My original post showed that the issue began at 00:28 on 2011-11-18.  At 00:28:09 in the Firewall log, it began to fill (over 830K lines) with drops of DNS requests from the Astaro itself - including even requests to the two OpenDNS forwarders specifically used in the DNS Proxy and our own internal DNS!  Then, abruptly at 14:24:38, the last offending line was to our internal DNS: 
    2011:11:18-14:24:38 post ulogd[5037]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:50:8b:xx:xx:zz" srcip="10.zz.zz.34" dstip="10.zz.zz.7" proto="17" length="93" tos="0x00" prec="0x00" ttl="64" srcport="51946" dstport="53"


    This recommeced at 00:21:19 on the 20th, and didn't slow down until I restored from the 2011-11-16 backup at 11:19.  It was not until another reboot at 12:01 that these crazy entries went away.

    Cheers - Bob
    PS Ouch!  I just noticed that today's DNS log is 237MB (yes MB) - I doubt I could open that successfully with Notepad++.  Searching the file, it appears that all of the entries are network unreachable - no surprise since the firewall was blocking the requests!
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hi Bob,

    Glad you noticed that, because now it explains why my ipv6 tunnel won't come up.

    My DNS log is already at 25MB, and it is only 10AM here. All host unreachable errors. Checked my Firewall log, and it is full of block sourceip the firewall outside interface, destination port 53.

    Something definately flaky here.
Unfiltered HTML