Высокая загрузка процессора на pfsense 2.4.1
-
Здравствуйте, уважаемые форумчане. Появилась задача обновить pfsense с версии 2.2.5 до последней, которой оказалась 2.4.1. Никогда это у меня гладко не проходило, поэтому акрониксом снял полную копию диска, потом развернул на новый диск и уже его обновил… все упало, pfsense превратился в табуретку - ошибка при обновлении пакетов, даже не грузился. Установил заново pfsense, с нуля, и накатил конфиг 2.2.5, как это не удивительно, но заработало!!! Пакеты поставились, были мелкие недочёты, но их устранил. По прошествии недели стал замечать что web-интерфейс виснет при каждом шаге, глянул загрузку проца - 100% (в web-интерфейсе), перезагрузил - загрузка пропала стала 1-2 %, минут через 10 27%, минут через 10 56% и так до 100%. Подключился по ssh и посмотрел в top:
last pid: 72502; load averages: 1.36, 1.22, 1.00 up 0+00:33:49 09:28:42 79 processes: 2 running, 77 sleeping CPU: 25.3% user, 0.0% nice, 1.1% system, 0.0% interrupt, 73.6% idle Mem: 311M Active, 70M Inact, 632M Wired, 295M Buf, 2721M Free Swap: 3852M Total, 3852M Free PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND 71515 root 1 103 0 247M 45156K CPU1 1 28:31 97.43% php 46654 root 1 52 0 288M 47708K accept 2 0:00 0.58% php-fpm 12950 root 1 20 0 20056K 3840K CPU0 0 0:00 0.05% top 39978 root 1 20 0 20348K 5900K select 0 0:00 0.02% openvpn 6280 root 1 20 0 244M 43324K nanslp 3 0:00 0.02% php 42779 root 1 20 0 12696K 2304K bpf 1 0:00 0.02% filterlog 42994 root 1 20 0 10480K 2524K select 0 0:00 0.01% syslogd 73511 root 1 20 0 27464K 8004K kqread 3 0:00 0.01% nginx 67973 squid 1 20 0 33776K 4456K select 3 0:00 0.01% pinger 82896 squid 1 20 0 33776K 4456K select 0 0:00 0.01% pinger 49928 squid 1 20 0 33776K 4456K select 2 0:00 0.01% pinger 35297 squid 1 20 0 33776K 4456K select 0 0:00 0.01% pinger 55921 root 5 52 0 15076K 2504K uwait 3 0:00 0.01% dpinger 4147 root 1 20 0 58156K 7808K select 1 0:00 0.00% sshd 57352 root 5 52 0 10980K 2428K uwait 3 0:00 0.00% dpinger 54845 root 5 52 0 10980K 2428K uwait 3 0:00 0.00% dpinger 56489 root 5 52 0 10980K 2428K uwait 2 0:00 0.00% dpinger 56339 root 5 52 0 10980K 2428K uwait 2 0:00 0.00% dpinger 41631 root 1 20 0 148M 100M select 3 0:00 0.00% bsnmpd 53886 root 5 52 0 10980K 2428K uwait 3 0:00 0.00% dpinger 55804 root 5 52 0 10980K 2428K uwait 2 0:00 0.00% dpinger 55399 root 5 52 0 10980K 2428K uwait 3 0:00 0.00% dpinger 56874 root 5 52 0 10980K 2428K uwait 3 0:00 0.00% dpinger 54487 root 5 52 0 10980K 2428K uwait 3 0:00 0.00% dpinger 74616 root 1 20 0 24604K 12424K select 0 0:00 0.00% ntpd 28978 squid 1 20 0 131M 36340K kqread 2 0:00 0.00% squid 18888 root 1 20 0 44836K 6704K select 0 0:00 0.00% mpd5 67731 root 1 20 0 36776K 6412K kqread 2 0:00 0.00% lighttpd_pfb 74152 root 1 20 0 45152K 6596K kqread 2 0:00 0.00% lighttpd_ls 313 root 1 27 0 276M 29476K kqread 3 0:00 0.00% php-fpm 72378 unbound 4 20 0 72924K 26580K kqread 1 0:01 0.00% unbound 79005 root 1 52 20 13084K 2640K wait 1 0:00 0.00% sh 73221 root 1 20 0 27464K 7780K kqread 1 0:00 0.00% nginx 38514 root 1 20 0 20348K 6196K select 0 0:00 0.00% openvpn 84758 root 17 52 0 219M 15080K sigwai 2 0:00 0.00% charon 80717 squid 1 20 0 32068K 13428K sbwait 0 0:00 0.00% squidGuard 30909 root 1 20 0 44836K 6848K select 2 0:00 0.00% mpd5 81721 squid 1 20 0 32068K 12528K sbwait 0 0:00 0.00% squidGuard 82297 squid 1 20 0 32068K 12528K sbwait 2 0:00 0.00% squidGuard 81444 squid 1 20 0 32068K 12528K sbwait 0 0:00 0.00% squidGuard 82480 squid 1 20 0 32068K 12528K sbwait 0 0:00 0.00% squidGuard 81196 squid 1 20 0 32068K 12620K sbwait 0 0:00 0.00% squidGuard 82605 squid 1 20 0 32068K 12528K sbwait 0 0:00 0.00% squidGuard 81978 squid 1 20 0 32068K 12528K sbwait 0 0:00 0.00% squidGuard 83737 root 1 24 0 13084K 2788K wait 1 0:00 0.00% sh 344 root 1 20 0 9556K 4952K select 1 0:00 0.00% devd 37930 root 1 20 0 20348K 5976K select 2 0:00 0.00% openvpn 327 root 1 40 20 19436K 4436K kqread 0 0:00 0.00% check_reload_status 34550 squid 1 40 0 33652K 4240K piperd 2 0:00 0.00% unlinkd 10115 root 1 52 0 13392K 3620K pause 1 0:00 0.00% tcsh 8565 squid 1 20 0 31332K 6696K sbwait [\code] При этом CPU0,1,2,3 играют в салочки - то один станет 100%, то другой. На предыдущей системе такого никогда не было. Вы не могли бы подсказать, а то путь решения проблемы - все снести и с нуля настраивать очень не нравится(. Спасибо.
-
Доброго.
Попробуйте схему 2.2 -> 2.3 ->2.4поэтому акрониксом снял полную копию диска, потом развернул на новый диск и уже его обновил… все упало, pfsense превратился в табуретку - ошибка при обновлении пакетов, даже не грузился
Ну и кто тут виртуализацию ругал? ::)
По прошествии недели стал замечать что web-интерфейс виснет при каждом шаге, глянул загрузку проца - 100% (в web-интерфейсе)
Что в логах при этом?
-
84758 root 17 52 0 219M 15080K sigwai 2 0:00 0.00% charon
ipsec используете? Если да - виджет ipsec в дашбоарде случаем не включен?
-
По прошествии пары суток (выходные закончились и народ пришел на работу), теперь в top следующее:
last pid: 53146; load averages: 54.06, 53.70, 53.24 up 2+02:38:40 11:33:33 202 processes: 57 running, 144 sleeping, 1 zombie CPU: 93.5% user, 0.0% nice, 1.3% system, 5.2% interrupt, 0.0% idle Mem: 176M Active, 1648M Inact, 798M Wired, 372M Buf, 1114M Free Swap: 3852M Total, 3852M Free PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND 27282 root 1 75 0 247M 45172K RUN 2 26.2H 15.49% php 63828 root 1 75 0 247M 45176K RUN 2 61:10 13.97% php 33470 root 1 76 0 247M 45168K RUN 2 980:46 13.40% php 27034 root 1 75 0 247M 45176K RUN 2 150:11 11.95% php 61339 root 1 75 0 247M 45160K RUN 2 4:27 11.67% php 81114 root 1 76 0 247M 45164K RUN 2 91:07 11.20% php 21059 root 1 75 0 247M 45164K RUN 2 14:01 10.91% php 45291 root 1 75 0 247M 45172K RUN 1 17:30 9.70% php 8289 root 1 74 0 247M 45148K RUN 1 298:44 9.24% php 37899 root 1 74 0 247M 45148K RUN 1 202:06 8.55% php 20812 root 1 74 0 247M 45144K RUN 1 238:55 8.45% php 85304 root 1 74 0 247M 45172K RUN 1 35:21 8.40% php 5193 root 1 74 0 247M 45164K RUN 1 468:23 8.36% php 42937 root 1 74 0 247M 45156K RUN 1 378:30 8.20% php 62180 root 1 74 0 247M 45168K RUN 1 162:37 8.02% php 30368 root 1 75 0 247M 45160K RUN 1 767:57 7.75% php 45189 root 1 74 0 247M 45172K RUN 0 386:09 7.72% php 81981 root 1 74 0 247M 45176K RUN 1 51:39 7.71% php 83292 root 1 74 0 247M 45168K RUN 1 90:51 7.37% php 47342 root 1 74 0 247M 45168K RUN 0 306:22 7.17% php 96317 root 1 74 0 247M 45164K RUN 0 61:35 7.00% php 66247 root 1 74 0 247M 45164K RUN 0 94:45 6.94% php 25814 root 1 74 0 247M 45168K RUN 0 161:00 6.92% php 4978 root 1 74 0 247M 45168K RUN 0 109:45 6.81% php 84943 root 1 74 0 247M 45160K RUN 1 136:51 6.73% php 7430 root 1 74 0 247M 45172K CPU0 0 1:26 6.61% php 16770 root 1 74 0 247M 45168K RUN 0 475:30 6.46% php 43115 root 1 73 0 247M 45172K RUN 0 246:41 6.31% php 94080 root 1 73 0 247M 45160K RUN 0 210:38 6.29% php 49507 root 1 73 0 247M 45164K RUN 3 48:05 6.27% php 96801 root 1 73 0 247M 45184K RUN 0 17:57 6.24% php 85452 root 1 73 0 247M 45168K RUN 0 50:43 6.21% php 8475 root 1 73 0 247M 45168K RUN 3 83:29 6.19% php 37726 root 1 73 0 247M 45164K RUN 0 773:44 6.14% php 882 root 1 73 0 247M 45144K RUN 3 164:03 6.12% php 62429 root 1 73 0 247M 45148K RUN 3 347:25 6.03% php 96147 root 1 73 0 247M 45168K RUN 3 16:10 5.91% php 19221 root 1 73 0 247M 45176K RUN 0 61:45 5.89% php 79120 root 1 73 0 247M 45172K RUN 3 316:54 5.71% php 51326 root 1 73 0 247M 45180K RUN 3 276:21 5.67% php 44592 root 1 73 0 247M 45172K RUN 3 65:39 5.49% php 71237 root 1 73 0 247M 45160K RUN 3 183:58 5.45% php 12871 root 1 73 0 247M 45176K RUN 3 88:19 5.44% php 71515 root 1 73 0 247M 45156K RUN 3 586:43 5.37% php 89265 root 1 73 0 247M 45152K RUN 3 124:20 5.34% php 35793 root 1 73 0 247M 45148K RUN 3 146:29 5.31% php 46921 root 1 73 0 247M 45168K RUN 3 105:04 5.27% php 10741 root 1 73 0 247M 45168K RUN 3 74:13 5.23% php 90847 root 1 73 0 247M 45164K RUN 3 110:11 4.89% php 12351 root 1 73 0 247M 45180K RUN 3 231:56 4.33% php 50463 root 1 73 0 247M 45168K RUN 3 56:56 4.14% php 28978 squid 1 20 0 253M 98M kqread 0 2:12 1.00% squid 7339 root 1 72 0 23120K 7592K RUN 3 0:02 0.99% perl 72378 unbound 4 20 0 93404K 48728K kqread 3 0:43 0.24% unbound 32634 squid 1 20 0 34116K 14672K CPU1 1 0:17 0.21% squidGuard 54424 root 1 20 0 22104K 4460K CPU3 3 0:02 0.08% top
все висит, хотя на работу пользователей это особо не влияет, но даже в ssh зайте проблематично, а web-интерфейс просто гемор((.
логи System GeneralNov 20 11:59:34 gw1.partner.ru nginx: 2017/11/20 11:59:34 [error] 73511#100191: send() failed (54: Connection reset by peer) Nov 20 11:59:30 syslogd kernel boot file is /boot/kernel/kernel Nov 20 11:59:29 syslogd exiting on signal 15 Nov 20 11:59:26 check_reload_status Syncing firewall Nov 20 11:47:47 check_reload_status Reloading filter Nov 20 11:47:47 php-fpm 78868 /rc.newwanip: rc.newwanip: on (IP address: 1.2.3.5) (interface: WAN_RT[opt8]) (real interface: re3). Nov 20 11:47:47 php-fpm 78868 /rc.newwanip: rc.newwanip: Info: starting on re3. Nov 20 11:47:46 check_reload_status Reloading filter Nov 20 11:47:46 check_reload_status rc.newwanip starting re3 Nov 20 11:47:46 php-fpm 78868 /rc.linkup: Hotplug event detected for WAN_RT(opt8) static IP (1.2.3.5 ) Nov 20 11:47:45 kernel re3: link state changed to UP Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 check_reload_status Linkup starting re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:45 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 kernel arpresolve: can't allocate llinfo for 1.2.3.4 on re3 Nov 20 11:47:44 check_reload_status Reloading filter Nov 20 11:47:44 php-fpm 37045 /rc.linkup: Hotplug event detected for WAN_RT(opt8) static IP (1.2.3.5 ) Nov 20 11:47:43 check_reload_status Linkup starting re3 Nov 20 11:47:43 kernel re3: link state changed to DOWN Nov 20 11:47:43 kernel re3: watchdog timeout Nov 20 11:45:08 syslogd kernel boot file is /boot/kernel/kernel Nov 20 11:45:07 syslogd exiting on signal 15 Nov 20 11:45:06 check_reload_status Syncing firewall Nov 20 11:42:02 check_reload_status Reloading filter Nov 20 11:42:00 check_reload_status Reloading filter Nov 20 11:41:55 check_reload_status Syncing firewall
Если не разберусь, то попробую последовательное обновление.
Спасибо. -
Виджет IPsec к DashBoard не подключен, хотя я с удивлением узнал что IPsec был включен, хотя вроде не включал. Выключил ничего не изменилось.
-
Доброго.
Какое железо исп-ся? Какие сетевые? Какие пакеты установлены? Если есть сквид - откл на время.Попробуйте восстанавливать настройки пф из бэкапа частями и смотреть, есть ли проблема.
А лучше бы с нуля все настроить на свежем пф. Много ли настраивать ? -
Железо вроде неплохое - процессор - Intel(R) Core(TM) i3-4170 CPU, мамка не помню какая, сетевушки intel (все новые, и как я читал это может быть проблема).
Пакеты:
Cron
Lightsquid
openvpn-client-export
pfBlockerNG
squid
squidGuard
Squid отключал - результат тот же(Да если честно думаю буду восстанавливать с нуля, за все 3 обновления, которые я проводил, стабильнее чем с нуля все равно не было (с нуля восстанавливать наверное часа 4-6)…
Спасибо. -
Все лень - все снес, накатил образ 2.4.1 и поставил конфиг - в общем то все то же самое что уже делал - все отлично работало 1 сутки, потом включил модуль pfBlockerNG - и за ночь загрузка взлетела до 100 процентов, сейчас перезагрузился и снова отключил модуль, посмотрю что будет в итоге, пока процессор холодный 1%. Причем интересно - pfBlockerNG работает, загрузка плавно повышается и достигает 100%, его отключаешь - загрузка процессора не падает. По моей логике видимо дело не в нем(( Но будем искать.
-
Доброго.
Что в логах пф? -
Здравствуйте, прошли сутки, модуль pfBlockerNG выключен, процессор 2-4 процента. Пока в логах ничего примечательного, правда ночью засыпало вот такими сообщениями:
1.2.3.4 - внешний статический ip
остальные ip - неизвестные, хотя 92.255.199.66 - видимо принадлежит подсети провайдераNov 23 06:37:26 nginx: 2017/11/23 06:37:26 [error] 71898#100117: *1423 "/usr/local/www/HNAP1/index.php" is not found (2: No such file or directory), client: 191.37.23.232, server: , request: "GET /HNAP1/ HTTP/1.1", host: "1.2.3.4" Nov 23 05:28:28 nginx: 2017/11/23 05:28:28 [error] 71898#100117: *1419 "/usr/local/www/HNAP1/index.php" is not found (2: No such file or directory), client: 194.44.136.65, server: , request: "GET /HNAP1/ HTTP/1.1", host: "1.2.3.4" Nov 23 01:36:18 nginx: 2017/11/23 01:36:18 [error] 71898#100117: *1405 open() "/usr/local/www/ccvv" failed (2: No such file or directory), client: 71.6.202.198, server: , request: "GET /ccvv HTTP/1.1", host: "1.2.3.4" Nov 23 00:38:15 nginx: 2017/11/23 00:38:15 [error] 71872#100186: *1398 "/usr/local/www/mysql-admin/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /mysql-admin/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:15 nginx: 2017/11/23 00:38:15 [error] 71872#100186: *1397 "/usr/local/www/mysqladmin/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /mysqladmin/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:15 nginx: 2017/11/23 00:38:15 [error] 71872#100186: *1396 "/usr/local/www/webdb/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /webdb/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:12 nginx: 2017/11/23 00:38:12 [error] 71898#100117: *1395 "/usr/local/www/websql/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /websql/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:12 nginx: 2017/11/23 00:38:12 [error] 71898#100117: *1394 "/usr/local/www/sqlweb/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /sqlweb/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:12 nginx: 2017/11/23 00:38:12 [error] 71898#100117: *1393 "/usr/local/www/webadmin/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /webadmin/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:11 nginx: 2017/11/23 00:38:11 [error] 71872#100186: *1392 "/usr/local/www/phpmy-admin/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /phpmy-admin/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:11 nginx: 2017/11/23 00:38:11 [error] 71872#100186: *1391 "/usr/local/www/php-myadmin/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /php-myadmin/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:11 nginx: 2017/11/23 00:38:11 [error] 71872#100186: *1390 "/usr/local/www/phpmanager/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /phpmanager/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:11 nginx: 2017/11/23 00:38:11 [error] 71872#100186: *1389 "/usr/local/www/pma2005/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /pma2005/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:11 nginx: 2017/11/23 00:38:11 [error] 71872#100186: *1388 "/usr/local/www/PMA2005/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /PMA2005/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:08 nginx: 2017/11/23 00:38:08 [error] 71898#100117: *1387 "/usr/local/www/p/m/a/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /p/m/a/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:08 nginx: 2017/11/23 00:38:08 [error] 71898#100117: *1386 "/usr/local/www/mysqlmanager/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /mysqlmanager/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:08 nginx: 2017/11/23 00:38:08 [error] 71898#100117: *1385 "/usr/local/www/sqlmanager/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /sqlmanager/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:08 nginx: 2017/11/23 00:38:08 [error] 71898#100117: *1384 "/usr/local/www/phpMyAdmin-2.8.2/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /phpMyAdmin-2.8.2/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:08 nginx: 2017/11/23 00:38:08 [error] 71898#100117: *1383 "/usr/local/www/phpMyAdmin-2.8.1/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /phpMyAdmin-2.8.1/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:08 nginx: 2017/11/23 00:38:08 [error] 71898#100117: *1382 "/usr/local/www/phpMyAdmin-2.8.1-rc1/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /phpMyAdmin-2.8.1-rc1/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:07 nginx: 2017/11/23 00:38:07 [error] 71898#100117: *1381 "/usr/local/www/phpMyAdmin-2.8.0.4/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /phpMyAdmin-2.8.0.4/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:07 nginx: 2017/11/23 00:38:07 [error] 71898#100117: *1380 "/usr/local/www/phpMyAdmin-2.8.0.3/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /phpMyAdmin-2.8.0.3/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:04 nginx: 2017/11/23 00:38:04 [error] 71898#100117: *1379 "/usr/local/www/phpMyAdmin-2.8.0.2/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /phpMyAdmin-2.8.0.2/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:38:04 nginx: 2017/11/23 00:38:04 [error] 71898#100117: *1378 "/usr/local/www/phpMyAdmin-2.8.0.1/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /phpMyAdmin-2.8.0.1/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:47 nginx: 2017/11/23 00:37:47 [error] 71872#100186: *1319 "/usr/local/www/openserver/phpmyadmin/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /openserver/phpmyadmin/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:44 nginx: 2017/11/23 00:37:44 [error] 71898#100117: *1318 "/usr/local/www/myadmin/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /myadmin/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:44 nginx: 2017/11/23 00:37:44 [error] 71898#100117: *1317 "/usr/local/www/mysql/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /mysql/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:44 nginx: 2017/11/23 00:37:44 [error] 71898#100117: *1316 "/usr/local/www/dbadmin/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /dbadmin/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:44 nginx: 2017/11/23 00:37:44 [error] 71898#100117: *1315 "/usr/local/www/admin/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /admin/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:44 nginx: 2017/11/23 00:37:44 [error] 71898#100117: *1314 "/usr/local/www/pma/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /pma/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:44 nginx: 2017/11/23 00:37:44 [error] 71898#100117: *1313 "/usr/local/www/PMA/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /PMA/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:43 nginx: 2017/11/23 00:37:43 [error] 71898#100117: *1312 "/usr/local/www/phpMyAdmin/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /phpMyAdmin/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:43 nginx: 2017/11/23 00:37:43 [error] 71898#100117: *1311 "/usr/local/www/phpmyadmin/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /phpmyadmin/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:43 nginx: 2017/11/23 00:37:43 [error] 71898#100117: *1301 open() "/usr/local/www/script" failed (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /script HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:39 nginx: 2017/11/23 00:37:39 [error] 71898#100117: *1300 open() "/usr/local/www/hudson/script" failed (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /hudson/script HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:39 nginx: 2017/11/23 00:37:39 [error] 71898#100117: *1299 "/usr/local/www/HNAP1/index.php" is not found (2: No such file or directory), client: 92.255.199.66, server: , request: "GET /HNAP1/ HTTP/1.1", host: "1.2.3.4", referrer: "http://1.2.3.4/" Nov 23 00:37:39 nginx: 2017/11/23 00:37:39 [error] 71898#100117: *1298 open() "/usr/local/www/ncsi.txt" failed (2: No such file or directory), client: 92.255.199.66, server: , request: "GET http://www.msftncsi.com/ncsi.txt HTTP/1.1", host: "www.msftncsi.com", referrer: "http://1.2.3.4/" Nov 22 17:56:51 check_reload_status Syncing firewall Nov 22 17:56:51 check_reload_status Syncing firewall
-
Извините, я понимаю что вопрос глупый, никак не могу в поисковике правильно вопрос сформировать, как сделать так чтобы к web консоли могли подключиться только с определенных ip или вообще запретить с определенных интерфейсов, а то по wan лезут иногда, и всегда разные ip, Firewall не на перечисляешься. Раньше на форуме находил в постоянных вопросах, в шапке, а сейчас не могу вспомнить где находил и как делать(
-
Создать алиас с IP, которым можно.
В правиле, пускающем в GUI из WAN указать этот алиас, как source.
Вообще, правильный способ доступ ко всему снаружи - исключительно через VPN. -
Доброго.
@pigbrother:Вообще, правильный способ - доступ ко всему снаружи - исключительно через VPN.
+1
как сделать так чтобы к web консоли могли подключиться только с определенных ip или вообще запретить с определенных интерфейсов
Сперва в System / Advanced / Admin Access ставите галку на Disable webConfigurator anti-lockout rule , а после настраиваете самое верхнее правило fw на LAN. Т.е в src указываете, например, LAN net или создаете Alias с адресами\сетями, к-ым разрешен доступ к админке пф и указываете в src его.
Вот здесь https://nguvu.org/pfsense/pfsense-baseline-setup/ есть пример со слов Create anti-lockout rule (там ниже скрин есть)
P.s. Цикл статей по пф оч. хороший https://nguvu.org/. Сохранить локально\ в закладки. Сам сохраняю такое в .pdf вот этим https://www.printfriendly.com/ (там же имеется и плагин для совр. браузеров). -
Включил вчера pfBlockerNG - прошли сутки, полет нормальный теперь проц скачет 3-6, но более не идет. Поглядим что будет дальше, спасибо.
У меня никогда нельзя было залезть из-вне на pfsense, а после обновления случайно попробовал и почему то зашел, хотя и не настраивал, теперь хочу убрать, а не получается.
Галочку Disable webConfigurator anti-lockout rule поставил. правило в LAN добавил:
tcp/udp source - lan-net port - all Destination - lan-addr port - all
Только не пойму как оно мне поможет.
Главное запретить из-вне. У меня используется стандартный порт 80, значит по порту я обрезать трафик не могу, а с wan интерфейса по прежнему можно подключиться. Какое правило можно настроить на внешнем интерфейсе, чтобы никто (даже я) не мог подключиться к web-консоли по интерфейсу WAN.Или просто после установки галки Disable webConfigurator anti-lockout rule нужно шлюз перезагрузить, если так то вечером попробую?
Или нужно настроить не стандартный порт, и потом уже его закрыть в Rules Wan?
И что дает мне разрешающее правило на порту Lan? -
Доброго.
Не используйте HTTP - смените на HTTPS. И отключите правило автоперенаправления для веб-фейса.
Хорошим тоном считается не использовать стандартные порты для адм-ния. Перевесьте HTTPS и SSH что-то нестандартное - 40043 и 40022 соотвественно. У себя я ssh вообще откл. И вкл. по необходимости.tcp/udp
source - lan-net
port - allDestination - lan-addr
port - allТолько TCP
Dest port - сперва создать алиас из портов для адм-ния. И использовать его.Будьте внимательнее, пож-та.
-
У меня никогда нельзя было залезть из-вне на pfsense, а после обновления случайно попробовал и почему то зашел, хотя и не настраивал, теперь хочу убрать, а не получается.
По умолчанию доступа из WAN нет и быть не должно.
Как вы заходите в GUI через WAN? Из своей локальной сети или из интернет (другого провайдера)? -
Я могу зайти и из своей локальной сети, и из интернета другого провайдера на внешнем сервере, который не стоит в моей сети, хоть с телефона 3G. У меня никогда такой проблемы просто не было - на WAN нельзя, для администрирования есть OpenVPN и все отлично работало. Понятно что можно повешать на непростые порты и спокойно зарезать трафик в Rules. Просто я думал, что может где то галочка поставилась, чтобы можно было из WAN заходить.
Спасибо большое за ответы и помощь. -
Остается взглянуть на скриншот правил WAN.
-
Еще раз здравствуйте. Нагрузка на процессор стабилизировалась, видимо первый раз какие-то пакеты неправильно установились, ну и хорошо. По поводу подключения через WAN, ограничивающих правил на внешнем интерфейсе у меня нет, так что переведу подключение на нестандартный порт и поставлю глушилку, это будет, я думаю, самое правильное. Спасибо большое.