Помогите разобраться? FreeBSD 7.0+MPD5+PF - ребутится зараза

[m0lekula]

Доброго всем здоровья!
Помогите, пож, разрулить ситуевину? Увы, своего мозга не хватает...
Машинка - шлюз в интернет (прокса с авторизацией в AD и учетом трафика, NAT, NTP-сервер, кеширующий DNS, VPN-сервер)
Проблемы начались довольно давно. Сервер стал регулярно уходить в ребут. Поменяли сетевые карты. Махнули реалтек на 3Сом.
Ничего не изменилось кроме того, что в логах стали периодически появляться надписи:

Код: Выделить всё

xl1: transmission error: 90
xl1: tx underrun, increasing tx start threshold to 120 bytes

Имеется:

Код: Выделить всё

CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz (3010.67-MHz 686-class CPU)
  Logical CPUs per core: 2
real memory  = 1073414144 (1023 MB)
avail memory = 1041469440 (993 MB)
FreeBSD/SMP: Multiprocessor System Detected: 2 CPUs
 cpu0 (BSP): APIC ID:  0
 cpu1 (AP): APIC ID:  1
xl0: <3Com 3c905C-TX Fast Etherlink XL> port 0xc400-0xc47f mem 0xd7eff800-0xd7ef
f87f irq 17 at device 9.0 on pci1
miibus0: <MII bus> on xl0
xlphy0: <3c905C 10/100 internal PHY> PHY 24 on miibus0
xl1: <3Com 3c905C-TX Fast Etherlink XL> port 0xc800-0xc87f mem 0xd7effc00-0xd7e
fc7f irq 21 at device 10.0 on pci1
miibus1: <MII bus> on xl1
xlphy1: <3c905C 10/100 internal PHY> PHY 24 on miibus1

[/size]

Код: Выделить всё

FreeBSD bsd.domain.ru 7.0-RELEASE-p12 FreeBSD 7.0-RELEASE-p12 #13: Wed Aug 26 20:
29:48 MSD 2009     root@bsd.domain.ru:/usr/obj/usr/src/sys/MY_PFNAT_VPN  i386

[/size]
Пакеты:

Код: Выделить всё

apache-2.0.63_3
bind9-9.3.6
mysql-5.1.36
ntp-4.2.4p7
rejik-3.2.1_1
samba-3.3.7
squid-2.7.5
и все что им потребно. 

[/size]
Опции ядра:

Код: Выделить всё

cpu		I686_CPU
ident		MY_PFNAT_VPN

makeoptions	DEBUG=-g	# Build kernel with gdb(1) debug symbols

device		pf
device		pflog
device		pfsync

options     ALTQ
options     ALTQ_CBQ        # Class Bases Queuing (CBQ)
options     ALTQ_RED        # Random Early Detection (RED)
options     ALTQ_RIO        # RED In/Out
options     ALTQ_HFSC       # Hierarchical Packet Scheduler (HFSC)
options     ALTQ_PRIQ       # Priority Queuing (PRIQ)
options     ALTQ_NOPCC      # Required for SMP build
options     ALTQ_NOPCC		# ???
options     ALTQ_DEBUG		# ???

options     NETGRAPH
options     NETGRAPH_ETHER
options     NETGRAPH_SOCKET
options     NETGRAPH_TEE
options 	NETGRAPH_PPTPGRE 
options 	NETGRAPH_PPP
options 	NETGRAPH_L2TP
options     NETGRAPH_MPPC_ENCRYPTION
#options    NETGRAPH_MPPC_COMPRESSION

#options 	SCHED_4BSD		# 4BSD scheduler
options 	SCHED_ULE		# ULE scheduler ***
options 	PREEMPTION		# Enable kernel thread preemption
options 	INET			# InterNETworking
#options 	INET6			# IPv6 communications protocols
#options 	SCTP			# Stream Control Transmission Protocol
options 	FFS			# Berkeley Fast Filesystem
options 	SOFTUPDATES		# Enable FFS soft updates support
options 	UFS_ACL			# Support for access control lists
options 	UFS_DIRHASH		# Improve performance on big directories
options 	UFS_GJOURNAL		# Enable gjournal-based UFS journaling
#options 	MD_ROOT			# MD is a potential root device
#options 	NFSCLIENT		# Network Filesystem Client
#options 	NFSSERVER		# Network Filesystem Server
#options 	NFS_ROOT		# NFS usable as /, requires NFSCLIENT
options 	MSDOSFS			# MSDOS Filesystem
options 	CD9660			# ISO 9660 Filesystem
options 	PROCFS			# Process filesystem (requires PSEUDOFS)
options 	PSEUDOFS		# Pseudo-filesystem framework
options 	GEOM_PART_GPT		# GUID Partition Tables.
options 	GEOM_LABEL		# Provides labelization
options 	COMPAT_43TTY		# BSD 4.3 TTY compat [KEEP THIS!]
options 	COMPAT_FREEBSD4		# Compatible with FreeBSD4
options 	COMPAT_FREEBSD5		# Compatible with FreeBSD5
options 	COMPAT_FREEBSD6		# Compatible with FreeBSD6
#options 	SCSI_DELAY=5000		# Delay (in ms) before probing SCSI
#options 	KTRACE			# ktrace(1) support
options 	SYSVSHM			# SYSV-style shared memory
options 	SYSVMSG			# SYSV-style message queues
options 	SYSVSEM			# SYSV-style semaphores
options 	_KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
options 	KBD_INSTALL_CDEV	# install a CDEV entry in /dev
options 	ADAPTIVE_GIANT		# Giant mutex is adaptive.
options 	IPI_PREEMPTION		# ********** !!!
#options 	STOP_NMI		# Stop CPUS using NMI instead of IPI ***!
options 	AUDIT			# Security event auditing

options 	DEVICE_POLLING
options 	HZ=2000

# To make an SMP kernel, the next two lines are needed
options 	SMP			# Symmetric MultiProcessor Kernel
device	apic			# I/O APIC

# CPU frequency control
device	cpufreq

# Bus support.
#device	eisa
device	pci

# Floppy drives
device		fdc

# ATA and ATAPI devices
device		ata
device		atadisk		# ATA disk drives
device		ataraid		# ATA RAID drives
device		atapicd		# ATAPI CDROM drives
device		atapifd		# ATAPI floppy drives
#device		atapist		# ATAPI tape drives
options 	ATA_STATIC_ID	# Static device numbering

# SCSI peripherals
device		scbus		# SCSI bus (required for SCSI)
#device		ch		# SCSI media changers
device		da		# Direct Access (disks)
#device		sa		# Sequential Access (tape etc)
device		cd		# CD
device		pass		# Passthrough device (direct SCSI access)
#device		ses		# SCSI Environmental Services (and SAF-TE)

# atkbdc0 controls both the keyboard and the PS/2 mouse
device		atkbdc		# AT keyboard controller
device		atkbd		# AT keyboard
device		psm		# PS/2 mouse
device		kbdmux		# keyboard multiplexer
device		vga		# VGA video card driver
device		splash		# Splash screen and screen saver support

# syscons is the default console driver, resembling an SCO console
device		sc

device		agp		# support several AGP chipsets

# Power management support (see NOTES for more options)
#device		apm
# Add suspend/resume support for the i8254.
device		pmtimer

# PCI Ethernet NICs.
#device		de		# DEC/Intel DC21x4x (``Tulip'')
device		em		# Intel PRO/1000 adapter Gigabit Ethernet Card

# PCI Ethernet NICs that use the common MII bus controller code.
# NOTE: Be sure to keep the 'device miibus' line in order to use these NICs!
device		miibus		# MII bus support
device		fxp		# Intel EtherExpress PRO/100B (82557, 82558)
device		msk		# Marvell/SysKonnect Yukon II Gigabit Ethernet
device		re		# RealTek 8139C+/8169/8169S/8110S
device		rl		# RealTek 8129/8139
device		xl		# 3Com 3c90x (``Boomerang'', ``Cyclone'')

остальные выкинуты

# Pseudo devices.
device		loop		# Network loopback
device		random		# Entropy device
device		ether		# Ethernet support
device		sl		# Kernel SLIP
device		ppp		# Kernel PPP
device		tun		# Packet tunnel.
device		pty		# Pseudo-ttys (telnet etc)
device		md		# Memory "disks"
device		gif		# IPv6 and IPv4 tunneling
#device		faith		# IPv6-to-IPv4 relaying (translation)
device		firmware	# firmware assist module

# The `bpf' device enables the Berkeley Packet Filter.
# Be aware of the administrative consequences of enabling this!
# Note that 'bpf' is required for DHCP.
device		bpf		# Berkeley packet filter

# USB support
device		uhci		# UHCI PCI->USB interface
device		ohci		# OHCI PCI->USB interface
device		ehci		# EHCI PCI->USB interface (USB 2.0)
device		usb		# USB Bus (required)
#device		udbp		# USB Double Bulk Pipe devices
device		ugen		# Generic
device		uhid		# "Human Interface Devices"
device		ukbd		# Keyboard
#device		ulpt		# Printer
device		umass		# Disks/Mass storage - Requires scbus and da
device		ums		# Mouse
#device		ural		# Ralink Technology RT2500USB wireless NICs
#device		rum		# Ralink Technology RT2501USB wireless NICs
#device		urio		# Diamond Rio 500 MP3 player
#device		uscanner	# Scanners

Остальное все выкинуто.

Проблема - периодический ребут. Может несколько дней работать, потом падает, может упасть несколько раз в день.
Насколько я заметил видимо при подключении/отключении ВПН-клиентов. Собсвтенно ВПН нужен для нескольких пользователей чтоб могли через RDP к своим компам подключаться.
Дампы - см. дальше.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[m0lekula]

1. Вчерашний. Лег после подключения второго пользователя:

Код: Выделить всё

[code]# /usr/obj/usr/src/sys/MY_PFNAT_VPN>kgdb kernel.debug /var/crash/vmcore.15
[GDB will not be able to debug user-mode threads: /usr/lib/libthread_db.so: Unde
fined symbol "ps_pglobal_lookup"]
GNU gdb 6.1.1 [FreeBSD]
Copyright 2004 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-marcel-freebsd".

Unread portion of the kernel message buffer:

Fatal trap 12: page fault while in kernel mode
cpuid = 1; apic id = 01
fault virtual address   = 0xcbe9fe01
fault code              = supervisor read, page not present
instruction pointer     = 0x20:0xc046cd90
stack pointer           = 0x28:0xe4d9ba78
frame pointer           = 0x28:0xe4d9baac
code segment            = base 0x0, limit 0xfffff, type 0x1b
                        = DPL 0, pres 1, def32 1, gran 1
processor eflags        = interrupt enabled, resume, IOPL = 0
current process         = 806 (mpd5)
trap number             = 12
panic: page fault
cpuid = 1
Uptime: 15h12m14s
Physical memory: 1015 MB
Dumping 171 MB: 156 140 124 108 92 76 60 44 28 12

#0  doadump () at pcpu.h:195
195             __asm __volatile("movl %%fs:0,%0" : "=r" (td));
(kgdb) bt
#0  doadump () at pcpu.h:195
#1  0xc059b777 in boot (howto=260) at /usr/src/sys/kern/kern_shutdown.c:409
#2  0xc059ba39 in panic (fmt=Variable "fmt" is not available.
) at /usr/src/sys/kern/kern_shutdown.c:563
#3  0xc071cafc in trap_fatal (frame=0xe4d9ba38, eva=3421109761)
    at /usr/src/sys/i386/i386/trap.c:899
#4  0xc071cd60 in trap_pfault (frame=0xe4d9ba38, usermode=0, eva=3421109761)
    at /usr/src/sys/i386/i386/trap.c:812
#5  0xc071d669 in trap (frame=0xe4d9ba38) at /usr/src/sys/i386/i386/trap.c:490
#6  0xc070413b in calltrap () at /usr/src/sys/i386/i386/exception.s:139
#7  0xc046cd90 in pfi_instance_add (ifp=0xc30ecc00, net=128, flags=0)
    at /usr/src/sys/contrib/pf/net/pf_if.c:596
#8  0xc046cfa4 in pfi_table_update (kt=0xc34a84d8, kif=0xc325a400, net=128,
    flags=0) at /usr/src/sys/contrib/pf/net/pf_if.c:561
#9  0xc046d269 in pfi_dynaddr_update (dyn=0xc34b3dac)
    at /usr/src/sys/contrib/pf/net/pf_if.c:543
#10 0xc046d2ad in pfi_kif_update (kif=0xc325a400)
    at /usr/src/sys/contrib/pf/net/pf_if.c:520
#11 0xc046d2d4 in pfi_kif_update (kif=0xc7615600)
    at /usr/src/sys/contrib/pf/net/pf_if.c:525
#12 0xc046d308 in pfi_kifaddr_update (v=0xc7615600)
    at /usr/src/sys/contrib/pf/net/pf_if.c:726
#13 0xc046d966 in pfi_ifaddr_event (arg=0x0, ifp=0xc3077400)
    at /usr/src/sys/contrib/pf/net/pf_if.c:936
#14 0xc06573cc in in_control (so=0xc393c000, cmd=2151704858,
    data=0xc51d07c0 "ng1", ifp=0xc3077400, td=0xc359e880)
    at /usr/src/sys/netinet/in.c:459
#15 0xc062d78f in ifioctl (so=0xc393c000, cmd=2151704858,
    data=0xc51d07c0 "ng1", td=0xc359e880) at /usr/src/sys/net/if.c:1888
#16 0xc05d6bfa in soo_ioctl (fp=0xc3593ca8, cmd=2151704858, data=0xc51d07c0,
    active_cred=0xc2f5d300, td=0xc359e880)
    at /usr/src/sys/kern/sys_socket.c:191
#17 0xc05cfb45 in kern_ioctl (td=0xc359e880, fd=21, com=2151704858,
    data=0xc51d07c0 "ng1") at file.h:266
#18 0xc05cfca4 in ioctl (td=0xc359e880, uap=0xe4d9bcfc)
    at /usr/src/sys/kern/sys_generic.c:570
#19 0xc071d085 in syscall (frame=0xe4d9bd38)
    at /usr/src/sys/i386/i386/trap.c:1035
#20 0xc07041a0 in Xint0x80_syscall ()
    at /usr/src/sys/i386/i386/exception.s:196
#21 0x00000033 in ?? ()
Previous frame inner to this frame (corrupt stack?)
(kgdb)

[/code]

2. Сегодняшний. Во время подключения пользователя.

Код: Выделить всё

[14:14]  /usr/obj/usr/src/sys/MY_PFNAT_VPN>kgdb kernel.debug /var/crash/vmcore.16
[GDB will not be able to debug user-mode threads: /usr/lib/libthread_db.so: Unde
fined symbol "ps_pglobal_lookup"]
GNU gdb 6.1.1 [FreeBSD]
Copyright 2004 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i386-marcel-freebsd".

Unread portion of the kernel message buffer:
panic: page fault
cpuid = 1
Uptime: 22h29m53s
Physical memory: 1015 MB
Dumping 189 MB: 174 158 142 126 110 94 78 62 46 30 14

#0  doadump () at pcpu.h:195
195             __asm __volatile("movl %%fs:0,%0" : "=r" (td));
(kgdb)
#0  doadump () at pcpu.h:195
#1  0xc059b777 in boot (howto=260) at /usr/src/sys/kern/kern_shutdown.c:409
#2  0xc059ba39 in panic (fmt=Variable "fmt" is not available.
) at /usr/src/sys/kern/kern_shutdown.c:563
#3  0xc071cafc in trap_fatal (frame=0xe4ff0830, eva=909652024)
    at /usr/src/sys/i386/i386/trap.c:899
#4  0xc071cd60 in trap_pfault (frame=0xe4ff0830, usermode=0, eva=909652024)
    at /usr/src/sys/i386/i386/trap.c:812
#5  0xc071d669 in trap (frame=0xe4ff0830) at /usr/src/sys/i386/i386/trap.c:490
#6  0xc070413b in calltrap () at /usr/src/sys/i386/i386/exception.s:139
#7  0xc046cd90 in pfi_instance_add (ifp=0xc328d800, net=128, flags=0)
    at /usr/src/sys/contrib/pf/net/pf_if.c:596
#8  0xc046cfa4 in pfi_table_update (kt=0xc3504000, kif=0xc325a400, net=128,
    flags=0) at /usr/src/sys/contrib/pf/net/pf_if.c:561
#9  0xc046d269 in pfi_dynaddr_update (dyn=0xc4df30c8)
    at /usr/src/sys/contrib/pf/net/pf_if.c:543
#10 0xc046d2ad in pfi_kif_update (kif=0xc325a400)
    at /usr/src/sys/contrib/pf/net/pf_if.c:520
#11 0xc046d340 in pfi_group_change (group=0xc0749b0d "all")
    at /usr/src/sys/contrib/pf/net/pf_if.c:400
#12 0xc046daab in pfi_change_group_event (arg=0x0, gname=0xc0749b0d "all")
    at /usr/src/sys/contrib/pf/net/pf_if.c:919
#13 0xc062bdf1 in if_addgroup (ifp=0xc3076c00, groupname=0xc0749b0d "all")
    at /usr/src/sys/net/if.c:835
#14 0xc062df00 in if_attach (ifp=0xc3076c00) at /usr/src/sys/net/if.c:473
#15 0xc4c2a556 in ?? ()
#16 0xc3076c00 in ?? ()
#17 0xc3076c10 in ?? ()
#18 0x00000000 in ?? ()
#19 0xc4c2b0c0 in ?? ()
#20 0x00000000 in ?? ()
#21 0xe4ff09f4 in ?? ()
#22 0xc0644332 in ng_make_node (typename=0xc7210000 "ng0", nodepp=0xe4ff0a94)
    at /usr/src/sys/netgraph/ng_base.c:579
Previous frame identical to this frame (corrupt stack?)
(kgdb)

Почти во всех дампах одинаково:

• current process = бла-бла-бла (mpd5)
• #0 doadump () at pcpu.h:195
  195 __asm __volatile("movl %%fs:0,%0" : "=r" (td));
• и фраза - "Previous frame inner to this frame (corrupt stack?)"

Что еще нужно спрашивайте выложу..

Вопрос, собссно, "что делать"?

[paradox]

1) поменять сетевку
2) собрать стандартный женерик
3) обновиться бсд (поскольку pf глючит - помоему в позних версиях пофиксили)

[m0lekula]

1. Сетевуху меняли. Был реалтек поставили 3сом 905-й. Эффекта ноль (в рассматриваемом вопросе). На что еще поменять?
2. Попробую.
3. А на что нынче рекомендуют обновлять?

[paradox]

3. А на что нынче рекомендуют обновлять?

нынче рекомендуют читать много форумов и рассылки бсд
что бы быть в курсе где когда всплывают разные баги и в каких версиях их пофиксили
но с учетом того что вы этого не делаете)
лучше обновитесь до стеибла каконо нибудь

FreeBSD bsd.domain.ru 7.0-RELEASE-p12 FreeBSD 7.0-RELEASE-p12 #13: Wed Aug 26 20:29:48 MSD 2009 root@bsd.domain.ru:/usr/obj/usr/src/sys/MY_PFNAT_VPN i386

не впечетляет и не внушает доверия

[m0lekula]

нынче рекомендуют читать много форумов и рассылки бсд
что бы быть в курсе где когда всплывают разные баги и в каких версиях их пофиксили
но с учетом того что вы этого не делаете

Да, Вы правы...
Но во первых я пока новичок в бсд, потому такие вопросы и задаю. Дорасту наверное со временем, буду следить.
И пока у меня только 1 машинка на бсд в виндовой сетке крутится. В качестве шлюза. Вторая в качестве файл-сервера планируется...

лучше обновитесь до стеибла каконо нибудь

И вот сразу и вопрос. На форумах как раз большинство считает, что стейбл на боевом сервера не совсем кошерно?

В поисках я перелопатил уже довольно много, но пока так и не понял толком, поможет мне апгрейд на 7.2 например, или лучше на какой-нить 6.х скатиться...

[paradox]

поможет мне апгрейд на 7.2 например, или лучше на какой-нить 6.х скатиться...

вам видней


стеибл есть стеибл
релиз выходит на дисках
это пофикшеный релиз
который постоянно викситься по мере нахождения багов