Service Groups not working since 5.017

Hi,

I tried to reproduce the problem. But on my V5.017 network groups and service groups worked fine. Did you try to delete and recreate the group again (would just be interesting for debuging).

Do you have a special setup? Maybe some DNS definitions that are using your service group? Are there services with different protocols?

Do you see something uncommond in the middleware log during creating the service group. Do you see something uncommon in the middleware log during enabling the packetfilterrule that uses the service group? If yes, please post it here.

Do you see the rules in iptables (Webadmin -> Packet Filter -> Advanced -> Current System Packet Filter Rules)? 

 Please give some more informations. Everything that could be important.

Xeno

Hi
Thanks for your reply. I am quite new to Astaro, so I dont know where to find the middleware log. I have looked at some of the logs in the webadmin interface, but none seem to have relevant entries. These rules were working before I upgraded to 5.017. I have looked in the current rules and found this

    1    48 LOGACCEPT  tcp  --  *      *       10.10.10.0/24        0.0.0.0/0           tcp spts:1024:65535 dpt:443 
    0     0 ACCEPT     tcp  --  *      *       10.10.10.0/24        0.0.0.0/0           tcp spts:1024:65535 dpts:20:21 
   91  6916 ACCEPT     udp  --  *      *       10.10.10.0/24        0.0.0.0/0           udp spts:1024:65535 dpt:123 
    0     0 LOGACCEPT  tcp  --  *      *       10.10.10.0/24        0.0.0.0/0           tcp spts:1:65535 dpt:25 
    0     0 LOGACCEPT  tcp  --  *      *       10.10.10.0/24        0.0.0.0/0           tcp spts:1024:65535 dpt:443 
    0     0 LOGACCEPT  tcp  --  *      *       10.10.10.0/24        0.0.0.0/0           tcp spts:1:65535 dpt:25 
    1    48 LOGACCEPT  tcp  --  *      *       10.10.10.0/24        0.0.0.0/0           tcp dpt:22 
    0     0 LOGACCEPT  tcp  --  *      *       10.10.10.0/24        0.0.0.0/0           tcp spts:1:65535 dpt:43234 
    0     0 LOGACCEPT  udp  --  *      *       10.10.10.0/24        0.0.0.0/0           udp spts:1024:65535 dpt:123 
    0     0 LOGACCEPT  tcp  --  *      *       10.10.10.0/24        0.0.0.0/0           tcp spts:1024:65535 dpts:20:21 

Some of them appear tiwce because they are in the service group rule and the rules i have added as a temporary fix, but the one for 43234 is only in the service group rule, and the rule generated looks reasonable.
I dont believe there are anyhigher priority rules blocking this traffic (the only higher rules with blocks are for broadcast and DCOM traffic and appear as 

  179 25353 DROP       all  --  *      *       0.0.0.0/0            10.10.10.255        
  491  165K DROP       all  --  *      *       0.0.0.0/0            255.255.255.255     

In the filter rules.

Before i put in the individual rules as a work around, I could see the packets logged as blocked in the live filter log.

If you can tell me where to look for the middleware log, I wil delete the group, recreate it and check the log.

Thanks for your help

Paul

Hi Paul,

could you please post a snapshot of packetfilterrule which contains the dropped packets?

Could you please also post the whole iptables output (Webadmin -> Packet filter -> Advanced -> Current System Packet Filter Rules and Current System NAT Rules)? Maybe the fix contrac feature blocks the packets. 

Middlewarelog you will finde in Local Logs -> Browse. Click on "show support logs" on the top of the page to display the middleware log.

Cheers
Xeno

I disabled the workaround rules so I could send you the info you asked for, but then found it was working again.
I am not really sure why, since the only thing that had happened since it was not working is a reboot. I had already rebooted 3 times in trying to get it working previously.

I did find these errors in the middleware log whcih look relevent - there are many instances of this error

2004:08:04-23:27:00 (none) middleware[530]: modules::IPTables::Adapter::getUserService() => Unknown Service: refbebc0dd3a7b1a290c965fa8aafcf7454
2004:08:04-23:27:00 (none) middleware[530]: modules::IPTables::Adapters:[:P]acketfilter at /PerlApp/modules/IPTables/Adapters/packetfilter.pm line 74.
2004:08:04-23:27:00 (none) middleware[530]: 
2004:08:04-23:27:00 (none) middleware[530]: modules::Error::Error
2004:08:04-23:27:00 (none) middleware[530]: modules::IPTables::Adapter::getUserService
2004:08:04-23:27:00 (none) middleware[530]: modules::IPTables::Adapters:[:P]acketfilter::generateRules
2004:08:04-23:27:00 (none) middleware[530]: modules::IPTables::Adapter::generateAll
2004:08:04-23:27:00 (none) middleware[530]: modules::IPTables::Adapter::load
2004:08:04-23:27:00 (none) middleware[530]: modules::IPTables::Adapters:[:P]acketfilter::load
2004:08:04-23:27:00 (none) middleware[530]: modules::Config::load
2004:08:04-23:27:00 (none) middleware[530]: 
2004:08:04-23:27:00 (none) middleware[530]: =========================================================================

The last of them was yesterday evening at about 19:52 local

I am looking though other logs to see if anything "interesting" happened at 19:52

Thanks for your help though - at least i learned where to look ifI get problems again [:)]

Hmm. If it happens again. Please post the whole iptables output and packetfilter log. Put it into a ZIP and attach it.

Xeno

I will do.

Thanks