[freebsd] probleme de memoire avec pf

Le
patpro ~ Patrick Proniewski
Bonjour,

Je tente en vain de mettre dans mon firewall (pf) des règles qui
utilisent une très grosse table.
La table fait dans les 38000 lignes, sous la forme de blocs d'IP.
J'ai beau monter la limite table-entries à 100000 ou plus, rien n'y fait
:

# uname -v
FreeBSD 8.1-RELEASE #0: Mon Jul 19 02:36:49 UTC 2010
root@mason.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC


# pfctl -vf /etc/pf.conf
No ALTQ support in kernel
ALTQ related functions disabled
ext_if = "em0"
loc_if = "lo0"
set limit table-entries 1000000
table <spammers> persist file "/etc/pf.liste_ip_spamer"
table <sshscan> persist file "/var/db/ssh-bruteforce"
table <webspam> persist file "/etc/pf.liste_ip_webspam"
table <admin> persist { UNE_IP }
table <sshwhitelist> persist { QUELQUES_IP }
table <spamhaus_dropall> persist { }
table <steam_blacklist> persist file "/etc/pf.steam_blacklist"
table <steam_whitelist> persist file "/etc/pf.steam_whitelist"
table <steam_geo_allow> persist file "/etc/pf.steam_geo_allow"
/etc/pf.conf:30: cannot define table steam_geo_allow: Cannot allocate
memory
pfctl: Syntax error in config file: pf rules not loaded


# head /etc/pf.steam_geo_allow
2.0.0.0/12
2.24.0.0/13
2.96.0.0/13
2.120.0.0/13
2.160.0.0/12
9.20.0.0/17
12.129.199.0/27
12.129.251.152/29
19.68.79.120/29
25.0.0.0/8

# wc -l /etc/pf.steam_geo_allow
37770 /etc/pf.steam_geo_allow

Je ne trouve pas d'autres limites pertinentes dans le man de pf.conf.
Est-ce que j'ai raté un truc ?

patpro

--
A vendre ! http://www.patpro.net/blog/index.php/2008/01/12/133
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephane Catteau
Le #22874731
patpro ~ Patrick Proniewski n'était pas loin de dire :

/etc/pf.conf:30: cannot define table steam_geo_allow: Cannot allocate
memory
pfctl: Syntax error in config file: pf rules not loaded


[snip]
Je ne trouve pas d'autres limites pertinentes dans le man de pf.conf.
Est-ce que j'ai raté un truc ?



Es-tu sur que la limite vient de pf et pas du système lui-même (login
class entre autre) ?
Sigma
Le #22874721
Stephane Catteau a ecrit:
patpro ~ Patrick Proniewski n'était pas loin de dire :

/etc/pf.conf:30: cannot define table steam_geo_allow: Cannot allocate
memory
pfctl: Syntax error in config file: pf rules not loaded


[snip]
Je ne trouve pas d'autres limites pertinentes dans le man de pf.conf.
Est-ce que j'ai raté un truc ?



Es-tu sur que la limite vient de pf et pas du système lui-même (login
class entre autre) ?




J'ai eu un problème similaire, mais ajouter les adresses 1000 par 1000
fonctionnait, je n'ai toujours pas trouvé pourquoi
patpro ~ patrick proniewski
Le #22875171
In article Stephane Catteau
patpro ~ Patrick Proniewski n'était pas loin de dire :

> /etc/pf.conf:30: cannot define table steam_geo_allow: Cannot allocate
> memory
> pfctl: Syntax error in config file: pf rules not loaded
[snip]
> Je ne trouve pas d'autres limites pertinentes dans le man de pf.conf.
> Est-ce que j'ai raté un truc ?

Es-tu sur que la limite vient de pf et pas du système lui-même (login
class entre autre) ?



je n'ai aucune certitude à ce niveau, mais je n'ai rien touché du coté
login class (tout par défaut), et le système à 16 Go de RAM.

Le seul tuning mémoire que j'ai fait, c'est celui-ci, dans sysctl.conf :

kern.ipc.shmmaxS6870912
kern.ipc.shmall1072


patpro

--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
patpro ~ patrick proniewski
Le #22875161
In article Sigma
Stephane Catteau a ecrit:
> patpro ~ Patrick Proniewski n'ˆ©tait pas loin de dire :
>
>> /etc/pf.conf:30: cannot define table steam_geo_allow: Cannot allocate
>> memory
>> pfctl: Syntax error in config file: pf rules not loaded
> [snip]
>> Je ne trouve pas d'autres limites pertinentes dans le man de pf.conf.
>> Est-ce que j'ai ratˆ© un truc ?
>
> Es-tu sur que la limite vient de pf et pas du systˆ®me lui-mˆ
TeXitoi
Le #22875451
patpro ~ Patrick Proniewski
/etc/pf.conf:30: cannot define table steam_geo_allow: Cannot allocate
memory



Si je m'en réfère au code l'OpenBSD que j'ai sous les yeux (et il
n'est pas dit que ça corresponde car le pf de FreeBSD est pas mal en
retard), c'est au niveau de l'ioctl que ça doit merder. Je ne vais pas
regarder de ce coté, c'est un peu beaucoup pour moi, et l'ioctl d'Open
et de Free doivent être bien différents.

Si je ne me trompe pas, ioctl -> kernel space, donc je ne pense pas
que les limites des utilisateurs rentrent en jeux.

--
Guillaume Pinot http://www.texitoi.eu

« Les grandes personnes ne comprennent jamais rien toutes seules, et
c'est fatigant, pour les enfants, de toujours leur donner des
explications... » -- Antoine de Saint-Exupéry, Le Petit Prince

() ASCII ribbon campaign -- Against HTML e-mail
/ http://www.asciiribbon.org -- Against proprietary attachments
Publicité
Poster une réponse
Anonyme