Prozesse bei 99% Memory usage beenden
-
Hallo,
ich bin noch am "Aufwärmen" mit pfsense und frage mich gerade ob es möglich ist über die console bestimmte Pakete zu stoppen wenn sie das web-GUI durch Volllaufen des RAM blockieren.
Konkretes Beispiel: Ich hab 8GB RAM in meiner pfsense-box und habe die Kiste neulich (fast) gebrickt weil in pfblocker vermutlich zu viele (oder zu große Listen) aktiviert waren. Danach Memory bei 99% und web-GUI reagierte nicht mehr. Ich also HDMI Monitor an die appliance und neu gestartet. pfsense fährt hoch bis zum Consolenmenu aber da pfblocker natürlich auch wieder hochfährt kommt nach ein paar Minuten eine Meldung wie getswapspace:failed. Ich vermute mal weil in der Zeit der RAM wieder bei 99% steht. Ab da keine Reaktion der Console mehr.
Ich hab dann nach 10 Anläufen in der einen Minute, die mir in etwa bleibt bis der RAM voll ist geschafft pfblocker zu disablen aber es hat ewig gedauert und in der Zeit war alles down natürlich. Hab natürlich im Netz alles durchgewühlt und war schon drauf und dran die Kiste komplett neu zu installieren.
Gibt es einen anderen Ausweg aus so einem "Teufelskreis" das nächste Mal?
Frage mich ohnehin warum in meinem Büro die selben block-feeds die auf meiner home SG-1100 problemlos laufen, die i7-kiste mit 8GB RAM komplett in die Knie zwingen und das ohne TLD filter in DNSBL.Besten Dank
Klaus
-
Hi,
ich weiß zwar jetzt nicht wie man aus dem Terminal diesen Dienst anhält, jedoch könnte es noch andere Gründe für den RAM geben, z.B. die Verwendung mit Suricata und weiteren Diensten wie VPN / IPSec usw.
Was laufen denn dort für Services bei dir sonst noch?
Ich hatte ein ähnliches Problem, siehe hier - evtl. hilft es weiter?https://forum.netgate.com/topic/155874/solved-extremer-swap-mit-pfblockerng-devel-mit-universit%C3%A9-toulouse-1-capitole-ut1-und-tld/4
LG
-
Hi,
danke für den Tip. Dass es an pfblocker lag habe ich rausgefunden. Warum ist mir noch nicht klar, da auf dem winzigen SG-1100 die gleichen listen gut laufen.
Ich lege mir auf jeden Fall mal einen USB installer zurecht falls es noch mal passiert.
Ich forsche mal weiter was pfblocker angeht.K.
-
Hast auch dnsbl bei pfb am laufen?
in der letzten User group diskuss meinte einer der Herren
Beim initial start braucht das Teil doppelt RAM f d einlesen der ListenSteht auch irgendwo im gui
Könnte die Erklärung sein
-
Ja hab ich. Das würde allerdings einiges erklären. Im Normalbetrieb waren es 40% RAM used. Dann aus anderem Grund reboot und schwups ist man nah am GAU.
Wäre natürlich toll, wenn es eine Art, start without extra packages vor dem eigentlichen Hochfahren gäbe für solche (Not)fälle. Auch genannt user-error.
Man kann also sagen, dass wenn eine laufende pfsense mit pfblocker bei 50% RAM liegt, dann bloß nicht rebooten?
Viele Grüße
-
Die Dev Version hat mit den gleichen Listen auf meinem SG-1100 mit über 90% Ausgelastet, beim SG-3100 waren es 50%.
Mit der Stable ist das SG-1100 mit folgenden Listen bei 39% Ram, SG-3100 sogar noch ein paar mehr beim DNSBL 19%:
Deny:103384
DNSBL:363517Firewall Maximum Table Entries ist mit 1000000 gesetzt.
Update der Listen dauern beim kleinen ca. 10min, mit CIDR Aggregation aktiv.
Da läuft also ein Prozess Amok!
-
@Klaus2314 said in Prozesse bei 99% Memory usage beenden:
Man kann also sagen, dass wenn eine laufende pfsense mit pfblocker bei 50% RAM liegt, dann bloß nicht rebooten?
Nein weil nicht nur pfblocker im RAM läuft. Zudem holt sich das OS selbst auch RAM für FS Caching und Co wenn was zu holen ist. Man kann da nicht pauschal urteilen.