Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Paket Loss / Firewall nicht erreichbar bei NAT/Firewall/Alias Anpassung

    Deutsch
    3
    5
    463
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • O
      Overlord
      last edited by

      Hey Leute

      Mir ist seit gestern was aufgefallen (hab lange davor nichts an den Firewall Regeln angepasst/geändert/gemacht:

      -Erweitere ich einen Firewall Alias
      -Speichere ich eine NAT oder Firewall Regel

      dann ist die Firewall für 10-17 Sekunden nicht mehr erreichbar. Das ist vermutlich mit dem Update auf 2.4.5 geschehen. Als Monitoring intern nutze ich u.a Check_Mk und nachdem die Firewall wieder erreichbar ist, bekomme ich eine Menge E-Mails von den internen Systemen, welche nicht mehr erreichbar sind bzw. waren.

      Änderungen an z. B. ACME oder HAProxy waren ohne Probleme.

      Hat jemand ähnliche Erfahrungen gemacht?

      Greetz
      Ovrld

      nonickN 1 Reply Last reply Reply Quote 0
      • nonickN
        nonick @Overlord
        last edited by nonick

        @Overlord Ist bei mir auch so. Kann nicht mal genau sagen ab wann, aber vermutlich auch seit der Version 2.4.5
        Sobald man was an den Firewall Regeln ändert und anschließend speichert, meckert neuerdings Icinga, da für paar Minuten nichts mehr geht. Das Regeln neu laden dauert jetzt vermutlich viel länger wie früher.

        Vielleicht kommt jetzt auch so langsam die APU2c4 an ihre Grenzen.

        Netgate 6100

        1 Reply Last reply Reply Quote 1
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Klingt nicht genau nach dem Problem, könnte aber davon abhängen:

          https://redmine.pfsense.org/issues/10414

          Bei großen Tabellen und Listen ist in 2.4.5 pfctl ziemlich am Ausrasten. Müsstest du ggf. vorher per ssh auf die Kiste und ein top o.ä. laufen lassen und dann mal Regeländerungen machen, ob dann der pfctl Prozess austiltet. Wenn ja, sollte das in naher Zukunft durch 2.4.5-p1 gefixt werden.

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          O 1 Reply Last reply Reply Quote 2
          • O
            Overlord @JeGr
            last edited by

            @JeGr
            Ich konnte das gerade beim zweiten mal replizieren - beim ersten Versuch hatte pfctl 31% und nur kurz, dann jeweils 25% auf dpinger, haproxy, snort und ntpd. Beim zweiten mal war pfctl bei 98%

            Also warte ich mal das Update ab - danke für das Feedback!

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Wirklich interessant. Ich hab mich echt bemüht im HW Lab das nachzubauen. pfBlocker ruff, Bogons an, IPv6 full scope. Alles was pfB an Listen kann angemacht, damit richtig große Tabellen zustande kommen... Ich bekomm keinen Aussetzer hin zur Reproduktion. Ist zum irre werden ;) Wollte da den Jungs helfen mit Debugging aber die Hardware (obwohls nur nen Atom C2758 ist) meckert kein Stück... Aber trifft wohl gerade in VMs mit mehreren Kernen verstärkt zu und dann - vermutlich - auf den schwächeren Plattformen da die CPU länger gelockt ist.

              Aber die Kerneltests sehen ja ganz gut aus :)

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.