7.202

7.202 updates to the patched version of BIND to resolve the DNS cache poisoning vulnerability.  7.202 does require a reboot.

Jack,

My Up2Date says it does not require a reboot, is this wrong?


-J

I just updated one of my boxes and it did not reboot!


-J

It has been changed since the last I heard- you are correct, it does not require a reboot.

thank you for confirming.


-J

Any chance of an update for 6.3?

Barry

I am seeing this after applying 7.202 patch for DNS. Does this indacate a problem. I have never seen these messages before

2008-08-04 17:40:34 Daemon.Info fw1.markandbeth.net 2008:08:04-17:43:07 dhcpc-sh: DHCP connection fine. Checking again in 60 seconds
2008-08-04 17:40:41 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:14 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 17:40:41 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:14 kernel: net_enable_timestamp [named]: netstamp_needed=7
2008-08-04 17:40:41 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:14 kernel: net_enable_timestamp [named]: netstamp_needed=8
2008-08-04 17:40:41 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:14 kernel: net_disable_timestamp [named]: netstamp_needed=7
2008-08-04 17:40:41 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:14 kernel: net_disable_timestamp [named]: netstamp_needed=6
2008-08-04 17:40:41 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:14 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 17:40:47 Daemon.Info fw1.markandbeth.net 2008:08:04-17:43:21 confd[19088]: id="3106" severity="info" sys="System" sub="confd" name="authentication successful" client="dns-resolver.plx" facility="system" user="system" srcip="127.0.0.1"
2008-08-04 17:40:47 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:21 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 17:40:47 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:21 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 17:40:47 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:21 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 17:40:48 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:21 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 17:40:48 Daemon.Info fw1.markandbeth.net 2008:08:04-17:43:21 confd[19088]: id="3100" severity="info" sys="System" sub="confd" name="abort" client="dns-resolver.plx" facility="system" user="system" srcip="127.0.0.1"
2008-08-04 17:40:48 Daemon.Info fw1.markandbeth.net 2008:08:04-17:43:21 confd[19088]: id="3100" severity="info" sys="System" sub="confd" name="logout" client="dns-resolver.plx" facility="system" user="system" srcip="127.0.0.1"

Is the system properly resolving DNS?
Any other symptoms?

Is the system properly resolving DNS?
Any other symptoms?

Yes it seems to be resolving OK, The timestamp message does come accross everytime I issue a reslove reqest and this is a new message I have never seen before. I will try and reboot and see if this goes away

After reboot I still am seeing the messages. The firewall is setup to forward to OpenDNS, From a client I use nslookup, Use the server command to connect to the firewall and then issue a lookup. I get a valid return but the following messages are logged

2008-08-04 18:57:11 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:45 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 18:57:11 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:45 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 18:57:23 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 18:57:23 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 18:57:23 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 18:57:24 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 18:57:24 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 18:57:24 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 18:57:24 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 18:57:24 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_disable_timestamp [named]: netstamp_needed=5

We have lots of customers still on 6.3. Will a patch be released for Astaro 6?

I have 6,000 of those timestamp messages in today's log too.

Barry

I have 6,000 of those timestamp messages in today's log too.

Barry

Hello,

I've the same logs in "kernel messages"...

I notice also that i can't access to any https, since this update !...  [:O]
It is broken since the update... even after a reboot...

Ulong

The same logfile entries in "kernel messages" since the update to V2.202 here, but everything ist running fine, as far as I can see:

2008:08:05-10:29:12 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:12 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:12 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:12 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:13 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:13 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:13 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:13 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:14 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:14 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:16 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:16 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9

These errors are purely informational, and are expected. They do not cause any problems, except for numerous of log entries. They will be cleaned up in the release of 7.300.

Ulong, this update could not cause you to lose access to https. There must be something else happening there.

For me it was very strange : 

Following the update, everything concerning the packet filter was "broke", but the http proxy was fully functional ( as i add my thread to the forum...)...

To overcome :
- I reboot the firewall : no efect
- I reboot the adsl router, no effect
- I restore a backup made before the update : and nothing...
Same case : only http access through the firewall...

and later(2hours), with nothing else : everything was ok ???

I noticed during the problem that my access are in green on the packet filter, but everytime I get no answer... On this box i've a site2site vpn access using this was good ( https / pop with no proxy ).

Regards
ulong

I experienced the same sort of issue after applying 7.202. 

I rolled back to 7.200 and the issue has seemed to stop. The other thing is I have two 425a's in HA\Cluster mode, does anybody have the 7.202 firmware applied with ASG's in HA\Cluster mode?


-J

The same logfile entries in "kernel messages" since the update to V2.202 here, but everything ist running fine, as far as I can see:

2008:08:05-10:29:12 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:12 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:12 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:12 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:13 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:13 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:13 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:13 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:14 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:14 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:16 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:16 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9

We had the same messages, and our ASG (7.202) stalled last night / this morning. At least a bunch of services didn't work anymore. (appearently all that depend on logging)

General IP (ICMP), SSH and probably some more still worked, but e.g. Webadmin, SMTP-Proxy and any shell-(bash-)commands didn't work.

We just got some patch which should resolve this issue. (hopefully)

for AlanT:

I found what cause my trouble :
I've a problem in my configuration file !

A/ If I reboot :
- HTTP Proxy is fine, SMTP also, SITE2SITE 
but
Everything that is linked to packet filter doesn't work ( HTTPS etc...) !!!

B/ If I do a OFF, and ON on my NAT RULE #8 
everything is ok !!!!

I noticed that SNAT rule has a problem : when I edit it it switch to a DNAT rule !, i need to change it to SNAT in the drop down and next I can save it ...
See .jpg, when i click EDIT and nothing else...

So,
Do you to check this issue ? ( backup? access ?)

Sincerely
Ulong

I have seen that kind of issue with a couple of systems upgraded from V6 to V7.  Can you delete and recreate the problem NAT rule?

Hi Jack Daniel,

First it is not an upgrade : the configuration was first done on the 7.200 beta.

I do the following :
- delete the rule
- re-create exactly the same snat at the same position
- I click edit and it display as a DNAT ! 
- I reboot : same trouble, no packet filter ( please notice: if i use the livelog of the packet filter, i see my attemps en green : so it is not my rules that forbidden my attemps ...)
- I OFF next on the rule #8 ==> Everything OK !...

Sincerely
Ulong

I missed the details at first glance- your configuration won't work, we can't SNAT an entire network out to "any" for a specific service.  It will work if you create a SNAT rule for each host, but not as bulk rule.

As a general rule of thumb, the more specific the better for NAT rules.