This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

V6.300 Update ISP blocks everything

Hi all,
I just update to V6.300 and i can't connect to the internet anymore. When I disable IPS I can enter the internet. What's causing this problem with IPS. It should be faster but it blocks ALL traffic [:(]  V6.203 worked just fine.... Can someone help me please?


This thread was automatically locked due to age.
  • Same here!!
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/25673
     
    When you look at the logs nothing seams to be wrong. But hell nothings working so someting is wrong! [;)] 
    I got my system back on the net after disabling the IDS/IPS just like you.
     
    An statement from the folks @ Astaro would be nice =)
    Or at least a way to reverse the new snort to the old again.
  • Had to downgrade to 6.203 before things worked normaly again [:O]
  • have any of you guys opened a support ticket w/ Astaro.. this is a wierd one, I've updated our two test systems (we manage systems for several customers) with the 6.300 release, and aren't seeing any problems.. actually, we are seeing some of the promised performance increases.  If you don't mind, keep us up to date on what Astaro says / does about this.. we're going to test a while before deploying this to our customer appliances.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Dumb question here, but how do you downgrade to a previous version without re-installing?  I tried uploading v6.203 to ASG with WebAdmin on the Up2Date page, but it gives me an error saying that update is already installed.  

    Is there a way to roll-back to a previous version?
  • Hi there all, 

    i also upgraded to 6.300 and my IPS didn't work afterwords, which was pretty odd, so i took a look at ips.log and found the line:

    2006:07:01-10:15:36 (none) snort[30963]: FATAL ERROR: Undefined variable name: (/etc/snort/rules/astaro.rules:2342): any

    that seemed to me that maybe a bad pattern has caused this problem.
    After some searching i found out that this is not an Astaro supplied pattern, but one that i have created myself in WebAdmin.
    The problem was that i didn't knew the propper syntax.
    So i deleted the rule and restarted ips be "disable ips', wait 5 seconds, 'enable ips'.

    And .... it didn't work, so went to the kitchen and got me something to drink, when i came back, everything was working properly.

    Now that was interresting, after some investingation and testing i found out why, at least i think.

    It seems to me that there is some kind of startup delay where no packets gets processed.

    after checking the ips.log again a found two lines:

    2006:07:01-10:32:18 (none) snort[31573]: Log directory = /var/log/snort
    2006:07:01-10:33:49 (none) snort[31573]: Snort initialization completed successfully (pid=31573)

    I reproduced the behavior multiple times and found out:
    that the first line gets printed immidiatly after enabling ips and that as soon as the second log lines gets printed, the system than works again properly.
    Until that, every packets gets dropped and none is going through.

    The time difference between those two log entries is 90 seconds.

    So i assume on my box an old P3 1GHz, 512MB RAM i have a startup delay of 90 secs.

    Could you guys please check if you have the same behavior and what kind of startup delay's you have on your systems?
    Means how big is the time difference between the first and the second log entry?

    Regards
    Polluxxx
  • Hi, i checked the log of IPS. when I start IPS I only get the following message:
    2006:07:01-11:10:41 (none) snort[28878]: Log directory = /var/log/snort

    Then I can't surf anymore. When i disable snort the following message shows in the log: 

    2006:07:01-11:14:18 (none) snort[28878]: Final Flow Statistics
    2006:07:01-11:14:18 (none) snort[28878]: Spade got shutdown signal, cleaning up

    I got a Celeron 2 GHz with 768 MB RAM 80 GB HD. So i think the machine is powerfull enough, never had any problems...
  • Hi, 

    how long did you wait between enabling and disabling?
  • I waited for 3 minutes... So it should be long enough, I guess
  • Hi!
     
    I hade some more but this forum did not allow me to post that a long thread. Not my 160kb logfile either.
     
    That about the log path has been there before. i checked my logs from when i reinstalled some days ago. Same there.
     
    Well Polluxxx i waited som minuites wtching top on the console to se that snort had died.
     
    My hardware is a P4 1,7Ghz 768MB ram 40GB IDE HDD 7200rpm. I think it's good enought.
  • Hi again,
     
    Question to Martin Eckroth how did you downgrade? please post that.
    Getting some what irritated on this bug. [:@] 
     
    And im not to found of reinstalling again... Did that not to many days ago due to HDD failure.
     
    Thanks in advance