Snort consumindo toda a memória da maquina, pf trava não abre nem a console



  • Prezados, tenho um pf 2.4.2 ( na versão 2.4.1 também acontecia) processador quad core, 6Gb de memória (Antes era 4GB aumentei mas o problema continua) três interfaces WANs com o snort habilitado em todas elas, já até reinstalei o pacote, notei que o snort na interface Wan PPPOE esta usando muita memória, já alterei o metodo de pesquisa, alterei as configurações de uso de memória mas mesmo assim o snort dessa interface consome toda a memória da maquina, conseguimos navegar, mas não conseguimos acessar o firewall, nem pela console, apresenta o erro: swap_pager_getswapspace(): failed

    Depois de um tempo voltou a acessar, agora esta usando 16% da memória e o snort da interface parou sozinho, no log apareceu:

    Nov 28 10:10:31 kernel pppoe0: promiscuous mode disabled
    Nov 28 10:10:31 kernel pid 74617 (snort), uid 0, was killed: out of swap space
    Nov 28 10:10:12 kernel sonewconn: pcb 0xfffff8018a0af3a0: Listen queue overflow: 16 already in queue awaiting acceptance (1 occurrences)
    Nov 28 10:06:29 kernel sonewconn: pcb 0xfffff8018a0af3a0: Listen queue overflow: 16 already in queue awaiting acceptance (4 occurrences)

    Alguém já teve esse problema? em interface PPPOE existe alguma configuração especifica no snort para não usar muita memória?



  • Dreivi,

    Tu instalou o snort e fez alguma reestruturação das regras pro teu cenário ou habilitou tudo e mandou ver? :D



  • Já tem um ano essa instalação, fiz as regras e as pass lists, mas só essa interface usa muita memória



  • @dreivi:

    Já tem um ano essa instalação, fiz as regras e as pass lists, mas só essa interface usa muita memória

    Em qual versão do pfsense tu instalou o snort? Esse problema começou a partir da 2.4.1?



  • instalei na versão 2.3.0, começou a partir da 2.4.0, notei que esse problema também esta ocorrendo da interface lan deixei as duas desabilitadas, e mantive as doutras duas Wans ativas. o problema é a segurança.



  • Da versão 2.3 pra 2.4 mudou muita coisa. Tu verificou no sub-forum do snort na area em inglês se o pessoal tem relatado algo assim. Quem sabe tu posta por lá também e conversa com o desenvolvedor.


Log in to reply