Sophos Firewall minutenweise nicht erreichbar - "nf_queue" ist voll
Hallo Zusammen,
bei unserem RZ-Betreiber haben wir einen Sophos-Firewall, die immer wieder für einige Minuten nicht erreichbar ist:
Fehlermeldung im Kernel: nf_queue: full at 1024 entries, dropping packets(s)
Die Auslastung der Firewall ist kein Thema (Swap = 0%, Memory 15 %, CPU max. 11 %).
Das IPS ist auf der Firewall auch nicht aktiviert, daran kann es also auch nicht liegen.
Meine Vermutung ist, dass sich hier in der Firewall irgendwas verklemmt, daher die Queue nicht mehr schnell genug verarbeitet wird und daher voll läuft.
Hat jemand schon vergleichbare Erfahrungen gehabt? Wenn man nach der Meldung googelt, findet man uralte Einträge mit demselben Fehlerbild, aber ohne passende Erklärung.
Vielen Dank für eure Meinungen.
LG
JoFla
bei unserem RZ-Betreiber haben wir einen Sophos-Firewall, die immer wieder für einige Minuten nicht erreichbar ist:
Fehlermeldung im Kernel: nf_queue: full at 1024 entries, dropping packets(s)
Die Auslastung der Firewall ist kein Thema (Swap = 0%, Memory 15 %, CPU max. 11 %).
Das IPS ist auf der Firewall auch nicht aktiviert, daran kann es also auch nicht liegen.
Meine Vermutung ist, dass sich hier in der Firewall irgendwas verklemmt, daher die Queue nicht mehr schnell genug verarbeitet wird und daher voll läuft.
Hat jemand schon vergleichbare Erfahrungen gehabt? Wenn man nach der Meldung googelt, findet man uralte Einträge mit demselben Fehlerbild, aber ohne passende Erklärung.
Vielen Dank für eure Meinungen.
LG
JoFla
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669424
Url: https://administrator.de/contentid/669424
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
5 Kommentare
Neuester Kommentar
Moin.
Check mal deine ARP-Tabelle. Wieviele Hosts stehen da bei euch drin. Kann sein das der Neighbour Cache überläuft.
Limit von 1024 ist auf gängigen Linux-Systemen über sysctl anpassbar /proc/sys/net/ipv4/neigh/default/gc_thresh1, ist aber nur ein temp. Workaround, vermutlich ist hier das Subnetzdesign problematisch, viele Hosts im selben Subnetz?!.
Gruß catrell
Check mal deine ARP-Tabelle. Wieviele Hosts stehen da bei euch drin. Kann sein das der Neighbour Cache überläuft.
Limit von 1024 ist auf gängigen Linux-Systemen über sysctl anpassbar /proc/sys/net/ipv4/neigh/default/gc_thresh1, ist aber nur ein temp. Workaround, vermutlich ist hier das Subnetzdesign problematisch, viele Hosts im selben Subnetz?!.
Gruß catrell
Nicht richtig gesucht für die Erklärung:
https://forum.vyos.io/t/nf-queue-full-messages-breaking-connections/4855
Gilt auch für den Kernel des auf der Sophos im Hintergrund werkelnden Linux.
https://forum.vyos.io/t/nf-queue-full-messages-breaking-connections/4855
Gilt auch für den Kernel des auf der Sophos im Hintergrund werkelnden Linux.