5.027 Kernel Upgrade...!

This is interesting, I ihave the content filter turned on with a/v under transparent mode with strict tcp/ip on and all of those sites came up fine.  I am on a verizon DSL connection.  This is one i am watching closely.

We're using a T1 connection - copper.

Mike

I'm on Cable, standard ethernet MTU.

I've noticed that it is much worse when there is other traffic (p2p, not saturating) at the same time.

I'm not using ASL content filter or http proxy, but am using a Squid proxy in my DMZ.

Barry

when the ftp session aborts, lots of the following errors are logged in the the kernel log:

2004:11:29-16:15:27 (none) kernel: ip_conntrack_tcp: IGNORED: Out of window data; SEQ is over the upper bound (over the window of the receiver)
2004:11:29-16:15:27 (none) kernel: SRC= DST= LEN=1420 TOS=0x00 PREC=0x00 TTL=127 ID=26214 DF PROTO=TCP SPT=20602 DPT=20 SEQ=560615681 ACK=3264597441 WINDOW=64860 RES=0x00 ACK URGP=0 
2004:11:29-16:15:31 (none) kernel: NET: 19 messages suppressed.
2004:11:29-16:15:31 (none) kernel: ip_conntrack_tcp: IGNORED: Out of window data; ACK is over the upper bound (ACKed data has never seen yet)


Franc

FWIW, I noticed something similar today. The messages below kept repeating until the ASL had to be rebooted because it lost connectivity with one of the attached networks (though not the one that is mentioned in the log messages).

Code:

---

2004:11:30-00:00:09 (none) kernel: NET: 6 messages suppressed.
2004:11:30-00:00:09 (none) kernel: ip_conntrack_tcp: IGNORED: Out of window data; SEQ is over the upper bound (over the window of the receiver)
2004:11:30-00:00:09 (none) kernel: SRC=192.168.2.52 DST=192.168.1.2 LEN=120 TOS=0x00 PREC=0x00 TTL=128 ID=31383 DF PROTO=TCP SPT=1027 DPT=139 SEQ=2293845555 ACK=1421095625 WINDOW=17088 RES=0x00 ACK PSH URGP=0 
2004:11:30-00:00:09 (none) kernel: ip_conntrack_tcp: IGNORED: Out of window data; SEQ is over the upper bound (over the window of the receiver)
2004:11:30-00:00:09 (none) kernel: SRC=192.168.1.2 DST=192.168.2.52 LEN=144 TOS=0x00 PREC=0x00 TTL=128 ID=2419 DF PROTO=TCP SPT=139 DPT=1027 SEQ=1421095625 ACK=2293845635 WINDOW=8476 RES=0x00 ACK PSH URGP=0 
2004:11:30-00:00:09 (none) kernel: ip_conntrack_tcp: IGNORED: Out of window data; SEQ is over the upper bound (over the window of the receiver)
2004:11:30-00:00:09 (none) kernel: SRC=192.168.2.52 DST=192.168.1.2 LEN=114 TOS=0x00 PREC=0x00 TTL=128 ID=31384 DF PROTO=TCP SPT=1027 DPT=139 SEQ=2293845635 ACK=1421095729 WINDOW=16984 RES=0x00 ACK PSH URGP=0 

---

This can't really be caused by an attack, 192.168.2.52 is a Windows XP client and 192.168.1.2 is an NT4 PDC. And it did stop right after the reboot.

This accumulated to about 5MB of kernel logs today, whereas normal kernel log sizes are about 400kb/day. Even if the messages were only informational, it's quite odd.

Sascha

Hi,

I reverted back to 5.026 and I don't have the FTP problem (aborting transfers) anymore. So there's definately something wrong with version 5.027.

Franc.

Hi there all, 

please update to 5.100 where we addressed these issues.

This has been a long story, it now works, after all.
Enforcing standards to mitigate security risks, is not a good idea, 
if at least 10-15% of the machines on the internet have a broken or uncomplete TCP stack. 
This has been Another "Lesson Learned".

Thx for the patience.
Gert

heck gert.  I would enforce standardsas thishelps security.  When you start kowtowing to insecure or broken things you comporomise your product's security.  IMHO that is unacceptable. 10-15% of the systems have a non-standard configuration?  Heck i am surprised it is not higher.  That is their problem, not yours and/or Astaro's.