Je tente en vain de mettre dans mon firewall (pf) des règles qui
utilisent une très grosse table.
La table fait dans les 38000 lignes, sous la forme de blocs d'IP.
J'ai beau monter la limite table-entries à 100000 ou plus, rien n'y fait
:
patpro ~ Patrick Proniewski n'était pas loin de dire :
/etc/pf.conf:30: cannot define table steam_geo_allow: Cannot allocate memory pfctl: Syntax error in config file: pf rules not loaded
[snip]
Je ne trouve pas d'autres limites pertinentes dans le man de pf.conf. Est-ce que j'ai raté un truc ?
Es-tu sur que la limite vient de pf et pas du système lui-même (login class entre autre) ?
J'ai eu un problème similaire, mais ajouter les adresses 1000 par 1000 fonctionnait, je n'ai toujours pas trouvé pourquoi
patpro ~ patrick proniewski
In article , Stephane Catteau wrote:
patpro ~ Patrick Proniewski n'était pas loin de dire :
> /etc/pf.conf:30: cannot define table steam_geo_allow: Cannot allocate > memory > pfctl: Syntax error in config file: pf rules not loaded [snip] > Je ne trouve pas d'autres limites pertinentes dans le man de pf.conf. > Est-ce que j'ai raté un truc ?
Es-tu sur que la limite vient de pf et pas du système lui-même (login class entre autre) ?
je n'ai aucune certitude à ce niveau, mais je n'ai rien touché du coté login class (tout par défaut), et le système à 16 Go de RAM.
Le seul tuning mémoire que j'ai fait, c'est celui-ci, dans sysctl.conf :
In article <mn.13f87dac83cf0bd7.30736@sc4x.org>,
Stephane Catteau <steph.nospam@sc4x.net> wrote:
patpro ~ Patrick Proniewski n'était pas loin de dire :
> /etc/pf.conf:30: cannot define table steam_geo_allow: Cannot allocate
> memory
> pfctl: Syntax error in config file: pf rules not loaded
[snip]
> Je ne trouve pas d'autres limites pertinentes dans le man de pf.conf.
> Est-ce que j'ai raté un truc ?
Es-tu sur que la limite vient de pf et pas du système lui-même (login
class entre autre) ?
je n'ai aucune certitude à ce niveau, mais je n'ai rien touché du coté
login class (tout par défaut), et le système à 16 Go de RAM.
Le seul tuning mémoire que j'ai fait, c'est celui-ci, dans sysctl.conf :
kern.ipc.shmmaxS6870912
kern.ipc.shmall1072
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
patpro ~ Patrick Proniewski n'était pas loin de dire :
> /etc/pf.conf:30: cannot define table steam_geo_allow: Cannot allocate > memory > pfctl: Syntax error in config file: pf rules not loaded [snip] > Je ne trouve pas d'autres limites pertinentes dans le man de pf.conf. > Est-ce que j'ai raté un truc ?
Es-tu sur que la limite vient de pf et pas du système lui-même (login class entre autre) ?
je n'ai aucune certitude à ce niveau, mais je n'ai rien touché du coté login class (tout par défaut), et le système à 16 Go de RAM.
Le seul tuning mémoire que j'ai fait, c'est celui-ci, dans sysctl.conf :
Si je m'en réfère au code l'OpenBSD que j'ai sous les yeux (et il n'est pas dit que ça corresponde car le pf de FreeBSD est pas mal en retard), c'est au niveau de l'ioctl que ça doit merder. Je ne vais pas regarder de ce coté, c'est un peu beaucoup pour moi, et l'ioctl d'Open et de Free doivent être bien différents.
Si je ne me trompe pas, ioctl -> kernel space, donc je ne pense pas que les limites des utilisateurs rentrent en jeux.
« Les grandes personnes ne comprennent jamais rien toutes seules, et c'est fatigant, pour les enfants, de toujours leur donner des explications... » -- Antoine de Saint-Exupéry, Le Petit Prince
() ASCII ribbon campaign -- Against HTML e-mail / http://www.asciiribbon.org -- Against proprietary attachments
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> writes:
Si je m'en réfère au code l'OpenBSD que j'ai sous les yeux (et il
n'est pas dit que ça corresponde car le pf de FreeBSD est pas mal en
retard), c'est au niveau de l'ioctl que ça doit merder. Je ne vais pas
regarder de ce coté, c'est un peu beaucoup pour moi, et l'ioctl d'Open
et de Free doivent être bien différents.
Si je ne me trompe pas, ioctl -> kernel space, donc je ne pense pas
que les limites des utilisateurs rentrent en jeux.
--
Guillaume Pinot http://www.texitoi.eu
« Les grandes personnes ne comprennent jamais rien toutes seules, et
c'est fatigant, pour les enfants, de toujours leur donner des
explications... » -- Antoine de Saint-Exupéry, Le Petit Prince
() ASCII ribbon campaign -- Against HTML e-mail
/ http://www.asciiribbon.org -- Against proprietary attachments
Si je m'en réfère au code l'OpenBSD que j'ai sous les yeux (et il n'est pas dit que ça corresponde car le pf de FreeBSD est pas mal en retard), c'est au niveau de l'ioctl que ça doit merder. Je ne vais pas regarder de ce coté, c'est un peu beaucoup pour moi, et l'ioctl d'Open et de Free doivent être bien différents.
Si je ne me trompe pas, ioctl -> kernel space, donc je ne pense pas que les limites des utilisateurs rentrent en jeux.
« Les grandes personnes ne comprennent jamais rien toutes seules, et c'est fatigant, pour les enfants, de toujours leur donner des explications... » -- Antoine de Saint-Exupéry, Le Petit Prince
() ASCII ribbon campaign -- Against HTML e-mail / http://www.asciiribbon.org -- Against proprietary attachments