5.027 Kernel Upgrade...!

I have updated three ASL v5.026 boxes to v5.027, which each use very different hardware, and so far encountered no problems.

Actually, I just discovered now that CPU load dropped by 40..60% depending on the hardware, e.g. on a P-II/350 MHz CPU load dropped from nearly 60% to 30%, and on a Xeon 2.7 GHz from nearly 15% to 6% or so.

Quite a pleasant surprise!

Rolf

Hi,

after upgrading to the latest kernel we are no longer able to use FTP using the built in W2K ftp tool. The following error is generated:

150 Opening BINARY mode data connection for > Netout :Connection reset by peer
Connection closed by remote host.
ftp> close
Not connected.
ftp> bye

When using a general FTP program it works fine. Transfer fails when using the windows FTP tool.

Franc.

It's working for me with Win2000.

Nonetheless, sounds like a problem with PASV (passive ftp).

Make sure the FTP helper module is active.
(Packet Filter - Advanced 
under "Connection Tracking Helpers")

Barry

Hi,
in my opinion there is something wrong with the new kernel.
I cannot access some https sites, no matter with or without proxy.... 

In the kernel log I can see the following:
2004:11:17-09:27:32 (none) kernel: ip_conntrack_tcp: INVALID: invalid state SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=3540 DF PROTO=TCP SPT=443 DPT=1184 SEQ=46704336 ACK=4248262959 WINDOW=16384 RES=0x00 ACK URGP=0 


cu SveN

I am seeing the same thing, plus some like this:

kernel: ip_conntrack_tcp: INVALID: invalid SYN (ignored) SRC=84.x.x.x DST=24.x.x.x LEN=52 TOS=0x00 PREC=0x00 TTL=46 ID=31447 DF PROTO=TCP SPT=3627 DPT=2180 SEQ=3311847893 ACK=0 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B40103030001010402)

Hi, 

just want t o inform you that I got feedback from ALS-Support:

There is something wrong with 5.027! 

They are working on it...

[ QUOTE ]
Hi, 

just want t o inform you that I got feedback from ALS-Support:

There is something wrong with 5.027! 

They are working on it... 

[/ QUOTE ]

Hi, what is the problem ? and details that they have confirmed?

Think I'll defo hold off now!

Bryan

Hi, 

enabled connection tracking helper, but it didn't have any effect. The FTP jobs aborts at random intervals.

Franc.

[ QUOTE ]
[ QUOTE ]
Hi, 

just want t o inform you that I got feedback from ALS-Support:

There is something wrong with 5.027! 

They are working on it... 

[/ QUOTE ]

Hi, what is the problem ? and details that they have confirmed?

Think I'll defo hold off now!

Bryan 

[/ QUOTE ]

I told them one https site (I don't want to post the url here) which is definatly not working with 5.027 and is working with 5.026, the only thing I found was the kernel.log entry I posted above.

They said they were able to reprocude and send it to Quality Assurance (whatever that is )

Now I see a bunch saying Bad TCP checksum.. this is very interesting.. never had a problem before 5.027.

Now I see a bunch saying Bad TCP checksum.. this is very interesting.. never had a problem before 5.027.

This is adversely affecting me. Is there a way to rollback to 5.026 (without having to re-install)?

Thanks,
Barry

[ QUOTE ]
This is adversely affecting me. Is there a way to rollback to 5.026 (without having to re-install)?

Thanks,
Barry 

[/ QUOTE ]
Hi Barry,
do you have a web-page that you can post here where the problem occurs?
(I do not have an idea to switch back to 5.026 without doing a reinstall)

cu SveN

Can you check whether you have enabled one of the following options in "Packet Filter->Advanced":
- "Strict TCP Session Handling"
- "Validate Packet-Length"

Regards,
Stephan

Hi Stephan, 

both Options were OFF (I turned them on for a test, but that didn't help). 
SYN Rate Limiter was ON (I turned this one OFF, this didn't help also).

I kernel.log still the same: 
 2004:11:18-14:45:52 (none) kernel: ip_conntrack_tcp: INVALID: invalid state SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=47890 DF PROTO=TCP SPT=443 DPT=2676 SEQ=2878483313 ACK=1416483982 WINDOW=65535 RES=0x00 ACK URGP=0

I had the Strict TCP option enabled, wasn't aware it was. Disabled it now, will see how things are now.

Still having invalid state, and invalid syn showing up.

Here are the ones I am seeing, sanitized:

2004:11:18-08:51:54 (none) kernel: ip_conntrack_tcp: INVALID: invalid state SRC=192.168.X.X DST=X.X.X.X LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=36805 DF PROTO=TCP SPT=2180 DPT=4806 SEQ=512916997 ACK=3438793701 WINDOW=64512 RES=0x00 ACK URGP=0 

2004:11:18-08:52:41 (none) kernel: ip_conntrack_tcp: INVALID: invalid SYN (ignored) SRC=X.X.X.X DST=X.X.X.X LEN=48 TOS=0x00 PREC=0x00 TTL=43 ID=38242 DF PROTO=TCP SPT=4616 DPT=2180 SEQ=1266878367 ACK=0 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405AC01010402) 

2004:11:18-08:52:41 (none) kernel: ip_conntrack_tcp: INVALID: invalid state SRC=192.168.X.X DST=X.X.X.X LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=38045 DF PROTO=TCP SPT=2180 DPT=4616 SEQ=525803101 ACK=1266878368 WINDOW=64512 RES=0x00 ACK URGP=0

And now, after looking through my logs, I am seeing this one as well:

2004:11:18-08:27:23 (none) kernel: ip_conntrack_tcp: IGNORED: Out of window data; SEQ is over the upper bound (over the window of the receiver)

AND, also a LOT more of the bad tcp checksum errors with none of the advanced PF options enabled.

Interesting..i am not having this issue..but i will definitly keep a lookout for others that maybe..

Last night, I was unable to access https://wwws.ameritrade.com/apps/LogIn/
from one PC while another PC was running P2P (eMule) at 100kbits/sec. (my outgoing bw is 256kbits (measured))

browser reported connection resets and other errors.

normal HTTP was working fine.

further throttling the P2P reduced the errors.

BTW, I'm not using ASL's proxy, but am using another Squid proxy in the DMZ.

This did not occur prior to 5.027.
Also, I believe general connectivity has gone downhill in 5.027.
Even with QOS set up properly, surfing is unbearably slow while P2P is running, even at only 50kbits/sec.

Barry