josephusflavius
Goto Top

Sophos Firewall minutenweise nicht erreichbar - "nf_queue" ist voll

Hallo Zusammen,

bei unserem RZ-Betreiber haben wir einen Sophos-Firewall, die immer wieder für einige Minuten nicht erreichbar ist:

Fehlermeldung im Kernel: nf_queue: full at 1024 entries, dropping packets(s)

Die Auslastung der Firewall ist kein Thema (Swap = 0%, Memory 15 %, CPU max. 11 %).
Das IPS ist auf der Firewall auch nicht aktiviert, daran kann es also auch nicht liegen.

Meine Vermutung ist, dass sich hier in der Firewall irgendwas verklemmt, daher die Queue nicht mehr schnell genug verarbeitet wird und daher voll läuft.

Hat jemand schon vergleichbare Erfahrungen gehabt? Wenn man nach der Meldung googelt, findet man uralte Einträge mit demselben Fehlerbild, aber ohne passende Erklärung.

Vielen Dank für eure Meinungen.

LG

JoFla

Content-ID: 669424

Url: https://administrator.de/forum/sophos-firewall-minutenweise-nicht-erreichbar-nf-queue-ist-voll-669424.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

NordicMike
NordicMike 12.11.2024 um 12:24:48 Uhr
Goto Top
SG oder XG?
150940
150940 12.11.2024 aktualisiert um 13:00:23 Uhr
Goto Top
Moin.

Check mal deine ARP-Tabelle. Wieviele Hosts stehen da bei euch drin. Kann sein das der Neighbour Cache überläuft.
Limit von 1024 ist auf gängigen Linux-Systemen über sysctl anpassbar /proc/sys/net/ipv4/neigh/default/gc_thresh1, ist aber nur ein temp. Workaround, vermutlich ist hier das Subnetzdesign problematisch, viele Hosts im selben Subnetz?!.

Gruß catrell
JosephusFlavius
JosephusFlavius 12.11.2024 um 13:12:08 Uhr
Goto Top
Vielen Dank für Eure Rückmeldung.

Ich werde die einzelnen Punkte klären.

LG

JoFla
aqui
aqui 12.11.2024 um 13:48:42 Uhr
Goto Top
Nicht richtig gesucht für die Erklärung: face-wink
https://forum.vyos.io/t/nf-queue-full-messages-breaking-connections/4855
Gilt auch für den Kernel des auf der Sophos im Hintergrund werkelnden Linux.
JosephusFlavius
JosephusFlavius 12.11.2024 um 14:00:47 Uhr
Goto Top
Vielen Dank Aqui face-smile