Date: Sun, 14 Oct 2007 07:10:39 -0600 From: Asbjørn Clemmensen <none@func--okejl.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: FreeBSD 6.2 + pf + kæemæssig table = problemer
On Sun, Oct 14, 2007 at 12:33:17PM +0200, Peter N. M. Hansteen wrote:
> Asbjørn Clemmensen <none@func--okejl.dk.lh.bsd-dk.dk> writes:
>
> > Da jeg ville læse den ind i pf, som en persistant table, gik det rent galt.
> > pfctl brugte 100+ mb ram i et stykke tid, hvorefter systemet gik dødt og endte
> > med at genstarte med en kernel panic.
>
> det høres veldig ut som om du stanger opp i grensen for maksimal
> tabellstørrelse og for den del mengde RAM allokert til kjernen. Du
> *kan* prøve å justere på maksimalt antall table-entries, eventuelt
> andre limit-innstillinger:
>
> set limit table-entries 400000
>
> men det kan høres ut som om du faktisk er nødt til å skaffe mer ram.
Ja, det tyder bestemt på, at rammene sætter begrænsningen i denne sammenhæng.
Den blockliste, som jeg vil konvertere, indeholder en masse IP-ranges, men som
jeg forstår det kan pf ikke bruge dem. Derfor er det eneste alternativ at
bruge CIDR-blokke hvor man kan, og derudover konvertere eksempelvis
4.1.19.1-4.1.19.198 til:
4.1.19.1
4.1.19.2
4.1.19.3
...
4.1.19.198
Derfor er det forståeligt nok, at filen vokser betragteligt i størrelse. Den
oprindelige fil er på 182.303 linier, hvor filen efter kærlig behandling ender
på 3.235.873 linier. Lige nu opdager jeg også, at der smuttede et ciffer i min
oprindelige mail - når det pludselig drejer sig om 3.2 mio adresser, så er det
forståeligt nok, at pf ikke vil være med.
> Det kan også være grunn til å revurdere om det faktisk er en fornuftig
> spesifikasjon som pålegger spesialbehandling, antakelig blokkering
> eller omdirigering til noe mindre hyggelig, eller om man faktisk har
> gått i fellen som heter "enumerating badness"[1], muligvis kombinert
> med andre mindre heldige forestillinger som Ranum er innom i samme
> artikkel.
Ja, jeg kender godt til enumerating badness. I denne her situation overvejer
jeg også bare at give op - jeg tror ikke denne blocklist vil være i brug ofte
nok til at retfærdiggøre den mængde ram, det ender med at æde, når samme
maskine også kører lighttpd, sendmail, dovecot, spamassassin, samba osv.
> > Er der nogen, der har et forslag til, hvordan en liste med 323.587 adresser
> > kan indlæses i pf fra en tekstfil, uden det får systemet til at gå ned? Jeg har
> > desværre ikke mulighed for at tilføje flere ram til systemet, som på nuværende
> > tidspunkt har 256 mb.
>
> Som sagt, så store tabeller krever antakelig mer fysisk RAM enn det du
> har i øyeblikket. Daniel Hartmeier beskriver dette nokså utførlig i en
> serie som starter med <http://undeadly.org/cgi?action=article&sid=20060927091645>,
> som er vel verd å bruke noe tid på å lese uavhengig av om man strever med å
> få PF til å gjøre det man vil.
Du skal have mange tak for dit svar, og de artikler, du har linket til. Som
sagt så kan det godt være, ideen simpelthen er umulig at indarbejde, så længe
pf ikke understøtter ip-ranges direkte.
> [1] http://www.ranum.com/security/computer_security/editorials/dumb/
>
> --
> Peter N. M. Hansteen, member of the first RFC 1149 implementation team
> http://bsdly.blogspot.com/ http://www.datadok.no/ http://www.nuug.no/
> "Remember to set the evil bit on all malicious network traffic"
> delilah spamd[29949]: 85.152.224.147: disconnected after 42673 seconds.
>
-- Asbjørn Clemmensen
This archive was generated by hypermail 2b30 : Wed 31 Oct 2007 - 23:00:02 CET