Hallo,
zum Glück habe ich neben der Astaro auf Arbeit auch eine Zuhause. Gestern abend war das neue Up2Date auf die Version 7.305 verfügbar, was ich Zuhause natürlich sofort installiert habe.
Danach bootet die Firewall automatisch. Nachdem sie wieder oben war, lief die ersten 5-10 Minuten alles einwandfrei. Dann ging der Spaß auf einmal los...
1. E-Mails konnte ich nicht mehr abrufen, Newsgroups nicht mehr anzeigen
2. Im Paketfilter-Logfile wurden meine pop3-ssl und nntp-Verbindungen plötzlich über meine Last-Reject-Regeln gefiltert und nicht über die eigentlich davor stehenden Regeln zugelassen, die ich extra für pop3-ssl und nntp eingerichtet habe. Zusätzlich wurden alle ntp-Anfragen an die Firewall plötzlich über die Last-DROP-Rule gefiltert.
3. Ein aus- und wieder einschalten des ntp-Servers brachte keine Änderung des Verhaltens. Die Firewall antwortet nicht mehr auf ntp-Abfragen und trotz laufenden ntp-Servers und korrekt freigegebener Netze für entsprechende Anfragen tauchen diese Verbindungen im Paketfilter als gedroppt auf.
4. Eine Paketfilter-Regel, die ganz klar für pop3-ssl und nntp zuständig ist, greift einfach nicht mehr. Ich habe die Regel von vorne bis hinten untersucht (ich arbeite mit Gruppierungen und an Interfaces gebundenen Objekten), sie einmal ab- und wieder angeschaltet, es hat alles nichts geholfen, sie greift einfach nicht mehr. Dabei existiert sie in der Form schon seit Monaten und ausser dem Firewall-Update habe ich gestern keinerlei Netzwerk-Konfigurationen der beteiligten Komponenten geändert (die IP-Adresse meines Rechners hat sich auch nicht geändert).
5. Da ich völlig ratlos war, was das ganze Verhalten der Firewall anging (der http-Proxy funktioniert währenddessen), habe ich einen Reboot gemacht.
6. Nach dem Reboot funktionierte plötzlich alles wieder einwandfrei. Die Firewall beantwortet wieder ntp-Abfragen und die pop3-ssl und nntp-Regel greift wieder. Auch nach 20 Minuten ging noch alles.
7. Ein Blick in den Paketfilter-Log zeigte aber ausser den WebAdmin-Zugriffen NICHTS, gar NICHTS, obwohl alle meine Regeln das Logging eingeschaltet haben. Also habe ich testweise eine Regel ausgeschaltet, wieder eingeschaltet und die Kommunikation laufen lassen, siehe da, das Logging für diese Regel funktioniert wieder. Das Spielchen habe ich mit allen Regeln durchgeführt, danach funktionierte das Paketfilter-Log auch wieder wie erwartet.
Ein EXTREM ungutes Gefühl bleibt aber...
Die Firewall selbst ist eine von Astaro runtergeladene virtuelle Maschine in der Version 7.302, die ich über Up2Dates auf 7.303, 7.304 und jetzt 7.305 aktualisiert habe. Das ganze läuft seit Wochen stabil und ohne Auffälligkeiten problemlos auf einem ESXi-Server.
Mich würde interessieren, ob das ein bedauerlicher Einzelfall ist oder ob das Problem auch andere haben. Ich habe auf den verschiedenen betreuten Astaros schon weit über 50 Up2Dates durchgeführt, zum Teil auf ASGs und ASL-Installationen, aber so ein komisches Verhalten habe ich noch nie beobachten können...
MfG
Manuel
This thread was automatically locked due to age.