Firewall qui bloque toute connexion

infobarque · Aug 10, 2012, 8:09 AM

bonjour,
petit nouveau sur le forum, je vous remercie de m'accueillir.

voici le problème
un pfsense 1.2 RC1 installé depuis un bon moment et qui tournait très bien, freeradius, mysql.

depuis peu de temps plus personne ne peut se connecter par moment, la seule solution trouvée était de rebooter le server.
en regardant les logs, je me suis apercu que c'était le firewall qui bloquait les connexions.
donc maintenant, je fais un firewall reload status via le webgui et tout rentre dans l'ordre pour un temps aléatoire qui peut aller de 5mn à plusieurs jours.

questions :
pourquoi le firewall part il en pinuts d'un coup, sachant qu'il n'y a aucune erreur au boot?
y a t'il moyen de relancer via un cron le firewall afin de m'éviter de rester comme un escargot devant le pc pour le relancer?

merci d'avance

ccnet · Aug 10, 2012, 12:26 PM

sachant qu'il n'y a aucune erreur au boot?

Et ensuite dans les logs systeme ?
Il doit y avoir une raison. J'ai un certain nombre de Pfsense en prod chez plusieurs clients et je n'ai jamais rencontré le problème. Sur quelle type de machine est il installé ? Physique, virtuelle ?

infobarque · Aug 10, 2012, 3:37 PM

c'est sur un promox en vm.
j'ai plusieurs pfsense aussi et aucun problème comme ca.
après dans les logs, je vois les packets bloqués comme si tout était droppé.
mais comme je l'ais précisé, c'est très aléatoire et ce peut tenir une semaine, comme 5mn, cette vm tourne sans aucun soucis depuis plus d'un an et c'est arrivé d'un coup sans aucun changement.
évidemment, là ou ca pèche le plus, c'est le we avec beaucoup de monde.

Juve · Aug 12, 2012, 10:02 AM

que donne un "dmesg" ? sur les dernières lignes au moment ou tout tombe.

infobarque · Aug 14, 2012, 6:45 AM

bonjour,
désolé pour la réponse tardive.
ca donne ceci

(php) , uid 0, exited on signal 11 (core duped)
tcp_output : inc sockbuf, old 66240, new 74432, sb_cc61292, snd_wnd 62720, sendwnd 31680

et après plus rien ne bouge.
je reload le firewall et tout repart.
mystère et boule de gomme

jdh · Aug 14, 2012, 7:02 AM

"core duped" signifie que le firewall est crashé (et qu'il a fait une copie de la mémoire dans un fichier "core").
Autant dire que ce n'est pas stable !

Il faut éviter de virtualiser un firewall !!!
(Je sais que 1.2.3 fonctionne en virtualisé sur du proxmox … mais il vaudrait mieux éviter ...)

infobarque · Aug 14, 2012, 7:22 AM

merci de la précision, mais la chose que je ne comprends pas est que ca arrive d'un coup au bout de plus d'un an de service et que le crash est vraiment aléatoire.
10mn, 1 jour, 1 semaine, c'est variable.
donc existe t'il u moyen de mettre en cron un restart du firewall afin d'éviter d'être devant le pc?
a moins de bidouiller le fichier php pour reloader le firewall.

ccnet · Aug 14, 2012, 7:28 AM

Et si vous résolviez le vrai problème ?

infobarque · Aug 14, 2012, 7:37 AM

je vois ou vous voulez en venir, ne pas utiliser de proxmox, mais pour le moment, ce n'est pas envisageable.
le truc est que je ne vois pas pourquoi il crash après avoir été mis a plus rude épreuve.

ccnet · Aug 14, 2012, 7:47 AM

Utiliser Pfsense dans un environnement adapté. Ce type de problème survient lorsque certaines conditions sont réunies. Vous avez eu la chance que ce ne soit pas le cas pendant un an. Personnellement j'évite d’envisager des solutions dont la sécurité repose sur la chance. J'ai un certain nombre de Pfsense en prod sur des HP DL360 ou des Dell R3xx, ce qui me permet de passer des vacances sans souci. Après c'est vous le boss …

infobarque · Aug 14, 2012, 8:33 AM

j'ai bien compris le message, mais ca ne répond pas à ma question.
y a t'il un moyen de relancer le firewall via une ligne de commande?
pfctl -e ne fonctionne pas

jdh · Aug 14, 2012, 11:15 AM

reboot !

Pour avoir essayé ce type de config et bien connaitre Proxmox, je préconise d'utiliser un firewall physique et non virtuel.
Un firewall n'a pas besoin d'un hardware très récent, bien au contraire, juste suffisamment de mémoire pour bien suivre les sessions.

(Par contre le proxy peut être virtuel sans aucun problème …).

Juve · Aug 14, 2012, 12:13 PM

Le coredump signifie effectivement qu'il y a eut un crash de php.
Le signal 11 correspond à un segfault, surement provoqué par un des modules additionnels lié aux package que vous avez installé.

Pour ma part, j'utilise pfsense (1.x ou 2.x) en virtualisé (ESXi) dans seulement deux cas:

en appliance VPN pour des connexions nomades (pfsense avec une interface wan utilisé uniquement en tant que terminaison openVPN)
en routeur/firewall pour des petits sites distants (15 users max) ou j'ai un ESX qui exécute pfSense, un RODC et un proxy trend IWSVA.

Jey-B · Aug 14, 2012, 12:24 PM

Juve, tu ne changeras sûrement pas d'orga… et si tu ne connais pas déjà, regarde du côté de Open Access Server, appliance d'OpenVPN. C'est vraiment pas mal !

Une interface Wan, mais une autre en plus pour accéder à des ressources ? Ou pour sécuriser du des accès Internet pour nomades, connectés à des hotspots non sûrs ?

ccnet · Aug 14, 2012, 12:58 PM

Des infos à quelle url ?

http://openvpn.net/index.php/access-server/download-openvpn-as-vm/469-deploying-openvpn-access-server-from-an-ovf-template-in-vmware-esxi-environment.html c'est ici ?

Jey-B · Aug 14, 2012, 1:14 PM

Ici pour commencer :
http://openvpn.net/index.php/access-server/download-openvpn-as-vm.html

ccnet · Aug 14, 2012, 1:34 PM

Merci, c'est bien ce que j'avais fini par trouver avec un doute.

J'utilise aussi Pfsense en appliance vpn ou proxy sur ESX. Je teste pour en faire de même avec le package Postfix - antispam and relay.
http://forum.pfsense.org/index.php/topic,40622.0.html

Juve · Aug 14, 2012, 2:30 PM

Effectivement je connais.

Mais j'utilise mon appliance pfsense pour deux raison:

super léger et outil maitrisé par mes équipês (on a quelques centaines de pfsense en production)
j'ai adapté la partie authentification pour reposer sur une infra ActiveDirectory (auth via apartenance à un groupe).

J'ai une seule interface car l'appliance est située en DMZ.