PfSense Reset nach voller Disk



  • Hallo,
    ich nutze PFS nun seit enigen Monaten ohne Probleme. Vor ca. 1 Monat habe ich Squid installiert, was soweit ok war. Nun war die Disk von PFS vollgelaufen, wegen der Tages-, Wochen-, und Monatslogs - ok, also in die Konsole und das Casheverzeichnis von Squid gelöscht und neuaufgebaut, auch ok. Doch dann, ohne Neustart, war auf einmal die gesamte Konfiguration "vergessen" inkl. der installierten Pkg…? Ich dachte, ok und startete dann PFS neu, jeoch mit dem selben Ergebnis, alles bei Null. Da ich noch ein Backup hatte, konnte ich es erfolgreich nutzen.

    Allerdings würde ich gerne die Ursache kennen bzw. ob dies evtl. ein bekanntest Problem sei?



  • Hallo!

    Soweit ich weiß, steht die gesamte Konfiguration in einer einzigen XML Datei, ebenso wie man sie als Backup exportieren kann. Wenn das Schreiben dieser Datei einmal nicht möglich ist, weil kein Speicherplatz mehr verfügbar,  kann ich mir vorstellen, dass die Konfig dann weg ist.

    Die Packages wären physisch wohl noch auf der Maschine gewesen, aber die pfSense hat wohl davon nichts mehr gewusst.

    Ich verwende Suricata anstatt Sqid, das produziert aber eine ganz ähnliche Log-Flut. Jedenfalls gibt es da neuerdings ein Log-Management, das alte Logeinträge, je nach zuvor definierter maximalen Log-Größe, löscht. Das vermeidet einen Überlauf, nervt aber, weil es per Crontab alle 5 Minuten läuft und diese Aktion seinerseits wieder mit ein paar Zeilen ins System-Log schreibt, so dass man da nichts anderes mehr findet.
    Ich denke, es wird Ähnliches auch bei Squit geben.



  • Hallo und danke für deine Rückmeldung,

    so ännlich habe ich mir das auch zusammengereimt, allerdings würde das bedeuten, ich verwende eine HDD, dass PFS "ständig" die Konf aktualisiert oder irgendwie schreibt, was als die Disk voll lief nicht mehr möglich war und danach vermutlich nicht mehr lesbar war, also Default gelesen wurde. Wäre jedoch sehr eigen, oder?
    Ach Squid ist ein Webproxy. Du meinst bestimmt Snort, oder?



  • Ja, ja, ich meinte Snort. Sorry.

    Die Konfig wird immer neu geschrieben, wenn Filter aufgrund irgendwelcher Updates geändert oder neu gestartet werden.
    Ich beobachte das bei mir an einem CARP Verbund, weil hier die Konfig nach jeder Änderung auf den Slave übertragen wird und diese Aktionen dann im System-Log zu finden sind. Das passiert bspw. immer nach den selbständigen täglichen Updates von pfBlocker und Suricata.

    Du findest die Aktionen aber auch sonst im System Log. Suche nach "Reloading filter".



  • Hi,
    ah ok, das würde meine Vermutung bestätigen. "Reloading filter" kann ich für den 11. 5x finden. D.h. also, dass jedes Mal ein Update, z.B. von Snort, statt fand, oder? Da müsste ich wohl mal auf Systemebene ins Log schauen ob zeitgleich ein Update stattfand. Aber das wäre was anderes. Wenn dem so ist, ist das dann nicht eine Schwachstelle in der Firewall? Demnach würde es "reichen", die Disk voll laufen zu lassen, sodass PFS nicht mehr funktioniert, oder?

    Nun gut jedenfalls hast du mir bei der Klärung des Problems geholfen ;).
    Danke



  • @sunghost:

    ah ok, das würde meine Vermutung bestätigen. "Reloading filter" kann ich für den 11. 5x finden. D.h. also, dass jedes Mal ein Update, z.B. von Snort, statt fand, oder?

    Die Firewall funktioniert auf Basis von Filter und diese müssen angepasst werden, sollte sich was ändern. Einige werden eben per crontab aktualisiert, bspw. auch URL Aliases. Anschließend wird des Filterset neu geladen, unabhängig davon, ob sich inhaltlich was geändert hat, und die Konfigurationsdatei neu geschrieben.

    @sunghost:

    Wenn dem so ist, ist das dann nicht eine Schwachstelle in der Firewall? Demnach würde es "reichen", die Disk voll laufen zu lassen, sodass PFS nicht mehr funktioniert, oder?

    Dafür gibt es ja Admins, die darauf schauen.  ;)
    Für den nahezu "wartungsfreien" Betrieb ist die Embedded Version gedacht. Da werden Logs standardmäßig nicht auf die Platte / Speicherkarte geschrieben, außerdem befindet sich die Konfiguration in einer eigenen Partition und bleibt so von einem Problem der Systempartition unberührt.

    Aber, ich denke die pfSense sollte ein Volllaufen der Platte zuvor melden. Hast nicht die Benachrichtigungen in System: Advanced: Notifications eingerichtet? Wenn nicht und du dich auch nie am Webconfigurator anmeldest, wo die wichtigsten Parameter auch am Dashboard angezeigt werden, hat es pfSense schwer, dich über absehbare oder bestehende Probleme zu informieren.

    Wenn dich der Status nicht interessiert, schalte das Logging einfach aus.



  • Hi,
    ne alles gut. Ich schaue regelmäßig drauf, kein Thema. Der Vorfall ist ja von einem auf den anderen Tag passiert - war meine ich der Jahreswechsel. Da schlug dann die Logauswertung zu und hat mehr geschrieben als frei war. Bis dato war mir auch nicht klar wieviel Squid bzw. Sarg speichert. Inzwischen habe ich von 30T auf 10T runtergeschraubt. Die Benachrichtigung ist gut und werde ich dann mal einrichten ;).
    In sofern hat mir der Vorfall auch geholfen PFS besser zu verstehen.
    Danke für deine Hilfe…


Log in to reply