Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 48 replies
  • Subscribers 2 subscribers
  • Views 9114 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

5.027 Kernel Upgrade...!

Bryan_01
Anyone tried this update yet. I'm too scared to do it after having to reboot after the last couple of updates - will this one requre a power cycle or maybe it can only be done in the dark!

Seriously, let me know your experiences. I am most worried about the new network card drivers for e100 cards which I use.

Thanks
Bryan


This thread was automatically locked due to age.
  • 0 in reply to BarryG
    Hi there all, 

    in 5.027 the new kernel introduced a new security functionality called "TCP-Window Tracking", 
    which can not be configured and is always activated.
    This improvement monitors the SYN and ACK sequence number of every connection established through the firewall, in order to discard packages that do not match the actual allowed TCP windows.
    Every Linux 2.4 kernel has this limitation, which recently (2-3 months ago) created some press about DoS using RST packets in conjunction with tcp window scaling.

    This new functionality is needed to detect and prevent such kind of attacks, but also can introduce problems with TCP stacks from other machinces on the internet that do not correclty handle the TCP window.

    This new functionality has also a very verbose logging, to make sure that attacks on that level can be detected and analyzed afterwords.
    Even as the logfiles are filled with many messages, those are mostly informational messages/

    Nevertheless we have you and one other customer who experiance difficulties to reach certain servers on the internet, 
    therefore we are currently investigation this issue and will update you as soon as we have additional information.

    Best Regards
    Gert Hansen
  • 0 in reply to Gert Hansen
    Thanks Gert.

    Any way to disable this feature on the console, or rollback to 5.026 w/o having to re-install?

    Here's some log output in case you need it:

    Code:
    2004:11:17-21:14:10 (none) kernel: ip_conntrack_tcp: INVALID: invalid SYN (ignored) SRC=199.200.9.1 DST=69.166.x.x LEN=44 TOS=0x00 PREC=0x00 TTL=231 ID=35603 PROTO=TCP SPT=80 DPT=42134 SEQ=1847748428 ACK=2691260888 WINDOW=8190 RES=0x00 ACK SYN URGP=0 OPT (020405B4)

    2004:11:17-21:14:51 (none) kernel: ip_conntrack_tcp: INVALID: invalid SYN (ignored) SRC=199.200.9.1 DST=69.166.x.x LEN=44 TOS=0x00 PREC=0x00 TTL=231 ID=47747 PROTO=TCP SPT=80 DPT=42138 SEQ=2975213062 ACK=2734272676 WINDOW=8190 RES=0x00 ACK SYN URGP=0 OPT (020405B4)

    2004:11:17-21:16:51 (none) kernel: ip_conntrack_tcp: INVALID: invalid SYN (ignored) SRC=199.200.9.1 DST=69.166.x.x LEN=44 TOS=0x00 PREC=0x00 TTL=231 ID=52771 PROTO=TCP SPT=80 DPT=42163 SEQ=1449251316 ACK=2852810003 WINDOW=8190 RES=0x00 ACK SYN URGP=0 OPT (020405B4)
     

    Thanks,
    Barry 
  • 0 in reply to Gert Hansen
    Hi Gert,

    does the problem I have with resetting FTP connections also have to do with this issue ?

    Regards,
    Franc.
  • 0 in reply to Franc
    [ QUOTE ]
    Hi Gert,

    does the problem I have with resetting FTP connections also have to do with this issue ?

    Regards,
    Franc. 

    [/ QUOTE ]
    Have you tried using PASV?

    cu SveN
  • 0
    After reading this thread, I'm glad I waited to upgrade. Unless I'm having specific troubles, I think I'll make a standard of waiting a month before updating to the next version.

    Glad to hear Astaro chimed in and is looking at it. That does alot to ease peoples minds I know. [:)]

    Best Regards,
    Patrick
  • 0 in reply to SveN_01
    In my experience, PASV ftp usually makes things worse, especially if doing MASQ/NAT, etc.

    Dunno if it'd help in this case though.

    Barry
  • 0 in reply to BarryG
    Hi,

    no I'm not using PASV. Things broke after installing 5.027. Before that the FTP script worked perfectly fine. Chaning to PASV didn't solve the problem. FTP is aborted during transfer at random positions.

    Franc.
  • 0 in reply to Franc
    Followimg my upgrade to 5.027 I'm having problems browsing some SSL and non-SSL sites too.  Any news of a fix ?
  • 0 in reply to John Agnew
    I have investigated these issues and found that Symantec firewalls may cause problems. They may reply to a SYN packet with an ACK packet (instead of SYN-ACK) and expect an RST packet back. If they receive the RST packet, then incoming connections are handled correctly afterwards (by issuing SYN-ACK). This mechanism is an unusual behaviour which may or may not work in reality.

    Could you please provide we with URLs and sites that cause problems? Either post it to the UBB or e-mail me directly.

    Regards,
    Stephan
  • 0 in reply to Stephan_Scholz
    Some sites are:-

    www.maporama.com
    www.jnwine.com
    https://www.halifax-online.co.uk/_mem_bin/FormsLogin.asp?source=halifaxcouk


     Interestingly the problem only seems to happen when using an ADSL internet connection. If I use my leased line internet connection the problem does not occur - perhaps it is an MTU issue with the ADSL connection ?
Cookie Information Banner