This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

9.201 - connections forgotten after any config change

Just upgraded from 9.1 to 9.201-23. After upgrade, it seems that any configuration change (including changed comment in network object) causes firewall to forget all connections. In case of "Use strict TCP session handling" turned on, TCP connection dies with any further activity (or keepalive), logging "strict TCP state" in packetfilter.log. In /proc/net/ip_conntrack the session seems alive, but UTM does fw functionality in userland also.

I am nearly sure that 9.1 has not this bug - I've experienced this behavior during the first day on 9.2 and never seen it for several months before on 9.1.

Also I've noticed wishes from the community that UTM should invalidate RELEVANT sessions after FIREWALL policy change and the target version mentioned was 9.2. It seems that the final implementation in 9.2 is to invalidate ALL sessions after ANY config change.


This thread was automatically locked due to age.
Parents
  • Hi, would enabling the strict TCP options be a solution or workaround for this?

    Barry
  • Barry,

    I'm sure that in 9.201+ TURNING ON "strict TCP check" can (and in many cases will) cause observed problems. Let me summarize my experiences so far:

    The problem with 9.201 is that UTM forgets connections after config change, so there's workaround to TURN OFF strict TCP checking to allow UTM to pickup the session in the middle (this may not work in all scenarios, NAT/masq could be problematic).

    In 9.202 it seems that some changes in code were implemented to work around (not yet fix!) the problems with connection dropping. One of them is changed effect of setting "strict TCP check" as if it were permanently TURNED OFF, thus UTM can pickup session from the middle regardless of "strict TCP check" setting. And probably the second change is TCP session pickup by reply packet (see new thread https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/41580 for details).

    Whatever it is, 9.2 is still too buggy. I hope 9.204 would be at least a bit better...

    (9.203 is scheduled for tomorrow to fix new OpenSSL vulnerability: Advisory: OpenSSL Security Advisory [05 Jun 2014] Personally I expect that no other fixes will be included in 9.203.)
Reply
  • Barry,

    I'm sure that in 9.201+ TURNING ON "strict TCP check" can (and in many cases will) cause observed problems. Let me summarize my experiences so far:

    The problem with 9.201 is that UTM forgets connections after config change, so there's workaround to TURN OFF strict TCP checking to allow UTM to pickup the session in the middle (this may not work in all scenarios, NAT/masq could be problematic).

    In 9.202 it seems that some changes in code were implemented to work around (not yet fix!) the problems with connection dropping. One of them is changed effect of setting "strict TCP check" as if it were permanently TURNED OFF, thus UTM can pickup session from the middle regardless of "strict TCP check" setting. And probably the second change is TCP session pickup by reply packet (see new thread https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/41580 for details).

    Whatever it is, 9.2 is still too buggy. I hope 9.204 would be at least a bit better...

    (9.203 is scheduled for tomorrow to fix new OpenSSL vulnerability: Advisory: OpenSSL Security Advisory [05 Jun 2014] Personally I expect that no other fixes will be included in 9.203.)
Children
No Data