ipfw: pullup failed = kernel panic

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
smk
рядовой
Сообщения: 22
Зарегистрирован: 2009-12-08 18:57:05

ipfw: pullup failed = kernel panic

Непрочитанное сообщение smk » 2013-05-31 21:17:34

Приветствую.

Имеются несколько серверов на FreeBSD 8.2 - 9.1 , имеющий примерно схожие проблемы с ipfw.
При работе ipfw сервера начинают зависать в произвольный момент - иногда просто не отвечает на клавиатуру, и последним сообщением идет сообщение "ipfw: pullup failed", иногда падает в керел паник, где в бэктрэйсе фигурирует ipfw_check_hook (если интересно, могу приложить кернел паник).
Все сервера имеют абсолютно одинаковые наборы правил. Но, в зависимости от сборки ядра, падают по-разному.
Для примера - собрал FreeBSD 8.4-PRERELEASE сегодня, перезагрузил, включил ipfw - сервер завис спустя 10 минут, с вышеуказанным сообщением. Обновлялся с 8.2 - там ipfw работал достаточно стабильно.
Сервер 9.1-STABLE сегодня выпал в кернел паник спустя 12 дней аптайма при включенном ipfw , собирал месяц назад, спустя пару часов выпал в панику опять. При этом другой сервер, тоже на 9.1 ipfw не выдерживает и пары часов.

Гуглы читал, что эта ошибка описана в мане - дескать фаерволл словил невалидный пакет. Но кернел паники/залипания при этом быть не должно.

Конфиг ядра следующий:

Код: Выделить всё

options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=10
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         LIBALIAS
options         ZERO_COPY_SOCKETS
options         MBUF_STRESS_TEST
options         ACCEPT_FILTER_DATA
options         ACCEPT_FILTER_HTTP
options         ACCEPT_FILTER_DNS
options         DEVICE_POLLING
options         IPSTEALTH
options         SHMALL=65536
options         MAXFILES=8192
options         PANIC_REBOOT_WAIT_TIME=600
options         VFS_AIO
options         ADAPTIVE_LOCKMGRS
options         SC_NORM_ATTR=(FG_WHITE|BG_BLACK)
options         SC_KERNEL_CONS_ATTR=(FG_YELLOW|BG_BLACK)
options         SC_HISTORY_SIZE=8192
options        MAXPHYS=(1024*1024)
options         HZ=1000
options         QUOTA

nooptions         SCTP
nooptions         FLOWTABLE
nooptions         AUDIT

include         GENERIC
ipfw работал достаточно стабильно до глобального обновления парка фри в конце 12-года, когда была найдена уязвимость http://www.freebsd.org/security/advisor ... chroot.asc

Может кто помочь советом, опытом? Пробовал копать sysctl, но результата сильного не принесло, тем более на более ранних версиях Fbsd все работало без проблем.
Обсуждения в форуме часто напоминают анализ кала: кто-то на...рал и ушел, а другие сидят и спорят...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2520 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Overseer
сержант
Сообщения: 218
Зарегистрирован: 2008-03-20 23:00:42

Re: ipfw: pullup failed = kernel panic

Непрочитанное сообщение Overseer » 2013-07-17 1:43:33

Та же херня... :st:

dovidov
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-06-28 16:44:04

Re: ipfw: pullup failed = kernel panic

Непрочитанное сообщение dovidov » 2013-09-08 14:45:48

решения не найдёно?
проявилась та же беда на 9.2-PRERELEASE

Аватара пользователя
smk
рядовой
Сообщения: 22
Зарегистрирован: 2009-12-08 18:57:05

Re: ipfw: pullup failed = kernel panic

Непрочитанное сообщение smk » 2013-09-21 8:05:49

dovidov писал(а):решения не найдёно?
проявилась та же беда на 9.2-PRERELEASE
У меня проблема была из-за правил ipfw, доставшихся в наследство от какой-то старой фри.
В рассылке фри вроде были жалобы на похожие проблемы с правилами "any dst-port XXX uid root setup", которые у меня тоже присутствовало.

Решилось все переписыванием подчистую правил ipfw с ужесточением политик. Аптайм - 2 месяца.
Обсуждения в форуме часто напоминают анализ кала: кто-то на...рал и ушел, а другие сидят и спорят...

dovidov
ефрейтор
Сообщения: 51
Зарегистрирован: 2008-06-28 16:44:04

Re: ipfw: pullup failed = kernel panic

Непрочитанное сообщение dovidov » 2013-09-21 10:42:16

правил 5 строк
разрешёно ssh для 10-ка ip
и 80,443 всем
остальное запрещено
Вернулся на 9.1 - 10-й день без проблем