7.202

7.202 updates to the patched version of BIND to resolve the DNS cache poisoning vulnerability.  7.202 does require a reboot.

Jack,

My Up2Date says it does not require a reboot, is this wrong?


-J

thank you for confirming.


-J

Any chance of an update for 6.3?

Barry

I am seeing this after applying 7.202 patch for DNS. Does this indacate a problem. I have never seen these messages before

2008-08-04 17:40:34 Daemon.Info fw1.markandbeth.net 2008:08:04-17:43:07 dhcpc-sh: DHCP connection fine. Checking again in 60 seconds
2008-08-04 17:40:41 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:14 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 17:40:41 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:14 kernel: net_enable_timestamp [named]: netstamp_needed=7
2008-08-04 17:40:41 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:14 kernel: net_enable_timestamp [named]: netstamp_needed=8
2008-08-04 17:40:41 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:14 kernel: net_disable_timestamp [named]: netstamp_needed=7
2008-08-04 17:40:41 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:14 kernel: net_disable_timestamp [named]: netstamp_needed=6
2008-08-04 17:40:41 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:14 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 17:40:47 Daemon.Info fw1.markandbeth.net 2008:08:04-17:43:21 confd[19088]: id="3106" severity="info" sys="System" sub="confd" name="authentication successful" client="dns-resolver.plx" facility="system" user="system" srcip="127.0.0.1"
2008-08-04 17:40:47 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:21 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 17:40:47 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:21 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 17:40:47 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:21 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 17:40:48 Kernel.Warning fw1.markandbeth.net 2008:08:04-17:43:21 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 17:40:48 Daemon.Info fw1.markandbeth.net 2008:08:04-17:43:21 confd[19088]: id="3100" severity="info" sys="System" sub="confd" name="abort" client="dns-resolver.plx" facility="system" user="system" srcip="127.0.0.1"
2008-08-04 17:40:48 Daemon.Info fw1.markandbeth.net 2008:08:04-17:43:21 confd[19088]: id="3100" severity="info" sys="System" sub="confd" name="logout" client="dns-resolver.plx" facility="system" user="system" srcip="127.0.0.1"

Is the system properly resolving DNS?
Any other symptoms?

Is the system properly resolving DNS?
Any other symptoms?

Yes it seems to be resolving OK, The timestamp message does come accross everytime I issue a reslove reqest and this is a new message I have never seen before. I will try and reboot and see if this goes away

After reboot I still am seeing the messages. The firewall is setup to forward to OpenDNS, From a client I use nslookup, Use the server command to connect to the firewall and then issue a lookup. I get a valid return but the following messages are logged

2008-08-04 18:57:11 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:45 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 18:57:11 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:45 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 18:57:23 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 18:57:23 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 18:57:23 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 18:57:24 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 18:57:24 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 18:57:24 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_disable_timestamp [named]: netstamp_needed=5
2008-08-04 18:57:24 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_enable_timestamp [named]: netstamp_needed=6
2008-08-04 18:57:24 Kernel.Warning fw1.markandbeth.net 2008:08:04-18:59:57 kernel: net_disable_timestamp [named]: netstamp_needed=5

We have lots of customers still on 6.3. Will a patch be released for Astaro 6?

I have 6,000 of those timestamp messages in today's log too.

Barry

Hello,

I've the same logs in "kernel messages"...

I notice also that i can't access to any https, since this update !...  [:O]
It is broken since the update... even after a reboot...

Ulong

The same logfile entries in "kernel messages" since the update to V2.202 here, but everything ist running fine, as far as I can see:

2008:08:05-10:29:12 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:12 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:12 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:12 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:13 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:13 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:13 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:13 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:14 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:14 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:16 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:16 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9

The same logfile entries in "kernel messages" since the update to V2.202 here, but everything ist running fine, as far as I can see:

2008:08:05-10:29:12 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:12 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:12 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:12 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:13 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:13 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:13 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:13 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:14 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:14 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:16 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:16 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9

The same logfile entries in "kernel messages" since the update to V2.202 here, but everything ist running fine, as far as I can see:

2008:08:05-10:29:12 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:12 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:12 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:12 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:13 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:13 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:13 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:13 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:14 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:14 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:15 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:15 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9
2008:08:05-10:29:16 (none) kernel: net_enable_timestamp [named]: netstamp_needed=10
2008:08:05-10:29:16 (none) kernel: net_disable_timestamp [named]: netstamp_needed=9

We had the same messages, and our ASG (7.202) stalled last night / this morning. At least a bunch of services didn't work anymore. (appearently all that depend on logging)

General IP (ICMP), SSH and probably some more still worked, but e.g. Webadmin, SMTP-Proxy and any shell-(bash-)commands didn't work.

We just got some patch which should resolve this issue. (hopefully)

for AlanT:

I found what cause my trouble :
I've a problem in my configuration file !

A/ If I reboot :
- HTTP Proxy is fine, SMTP also, SITE2SITE 
but
Everything that is linked to packet filter doesn't work ( HTTPS etc...) !!!

B/ If I do a OFF, and ON on my NAT RULE #8 
everything is ok !!!!

I noticed that SNAT rule has a problem : when I edit it it switch to a DNAT rule !, i need to change it to SNAT in the drop down and next I can save it ...
See .jpg, when i click EDIT and nothing else...

So,
Do you to check this issue ? ( backup? access ?)

Sincerely
Ulong

I have seen that kind of issue with a couple of systems upgraded from V6 to V7.  Can you delete and recreate the problem NAT rule?

Hi Jack Daniel,

First it is not an upgrade : the configuration was first done on the 7.200 beta.

I do the following :
- delete the rule
- re-create exactly the same snat at the same position
- I click edit and it display as a DNAT ! 
- I reboot : same trouble, no packet filter ( please notice: if i use the livelog of the packet filter, i see my attemps en green : so it is not my rules that forbidden my attemps ...)
- I OFF next on the rule #8 ==> Everything OK !...

Sincerely
Ulong

I missed the details at first glance- your configuration won't work, we can't SNAT an entire network out to "any" for a specific service.  It will work if you create a SNAT rule for each host, but not as bulk rule.

As a general rule of thumb, the more specific the better for NAT rules.

Yes, 

but this rule work fine, because actually only one host on the network need it...
For test I change the source ITF_LAN(Network) by a specific IP.

A/ When I do that the problem is the same : when I click edit in the SNAT rule, the editor show it as a DNAT and I need to reselect SNAT in the dropdown...
Please noticed that I've several other SNAT rule (#2, #1) and when I click edit for them no problem...

B/ I will reboot this evening to see it the rule won't block my packet filter on reboot as before. I will post the result later.
--> it doesn't work: after reboot(i've done the 7.290update) I need to OFF/ON my rule as before...

Ulong

Hi. 
Same for me here: HTTPS does not work anymore with .202. 
Deleted the HTTPS rule and recreated, no luck. 
Does anybody have a quick solution to that?

Thanks and regards
Danny