https://www.opennet.me/openforum/vsluhforumID1/96354.html Добрый день, коллеги.<br><br>Столкнулся со странной проблемой со старым, добрым ipfw, прошу подключить коллективный разум.<br><br><br>Входные параметры: <br># uname -a<br>FreeBSD 9.0-RELEASE FreeBSD 9.0-RELEASE #0: Sun Oct 25 14:52:29 KRAT 2012 root@firewall :/sys/amd64/compile/bgp_w_ipfw amd64<br><br># kldstat<br>Id Refs Address Size Name<br> 1 13 0xffffffff80200000 11eaf08 kernel<br> 2 1 0xffffffff81612000 2a120 pf.ko<br> 3 5 0xffffffff8163d000 8dfa netgraph.ko<br> 4 1 0xffffffff81646000 5833 ng_netflow.ko<br> 5 1 0xffffffff8164c000 2041 ng_ksocket.ko<br> 6 1 0xffffffff8164f000 1561 ng_ether.ko<br> 7 1 0xffffffff81651000 1b8d ng_socket.ko<br><br><br>Ядро собрано с поддержкой ipfw, dummynet, пара девайсов типа device lagg. <br><br><br><br><br>Раз в минуту прилетает с крона команда:<br>/sbin/ipfw -qn /scr/deny.ipfw && /sbin/ipfw table 1 flush && /sbin/ipfw -q /scr/deny.ipfw<br><br>как видно - проверка синтаксиса, очистка таблицы, добавление адресов с файлика.<br><br>#ipfw show 3<br>00003 12963 https://www.opennet.me/openforum/vsluhforumID1/96354.html#4 Sat, 07 Nov 2015 08:27:41 GMT &gt;[оверквотинг удален]<br>&gt; это еще было на фре 4.7 (к слову эта фря еще <br>&gt; в работе :) ), на ней так же активно используются таблицы, <br>&gt; даже более чем на "проблемной" 9ке, но залипаний нет, аптаймы уж <br>&gt; годами исчисляются...<br>&gt; Задача стоит в том чтоб плавно мигрировать на новое железо, удалив из <br>&gt; цепочек 4.7, повешав задачи на 9ку и заменить 9ку на 10.2.. <br>&gt; Как думаете, в 10.2 проблема может присутствовать? Вроде как фаервол подвергался <br>&gt; переработкам где-то между 9 и 10.2...?<br>&gt; И может есть идеи как повторить глюк?<br>&gt; Да, асинхронных правок таблиц нет.<br><br>Обновите ядро и мир до 9.0-RELENG, по-моему как раз правили этот баг после 9.0-RELEASE.<br><br> https://www.opennet.me/openforum/vsluhforumID1/96354.html#3 Fri, 06 Nov 2015 15:47:26 GMT &gt;[оверквотинг удален]<br>&gt; На всякий случай между флушем и добавлением вписал паузу, такой костыль, помнится, <br>&gt; помог с багом удалений пайпов в которых могли находиться пакеты, но <br>&gt; это еще было на фре 4.7 (к слову эта фря еще <br>&gt; в работе :) ), на ней так же активно используются таблицы, <br>&gt; даже более чем на "проблемной" 9ке, но залипаний нет, аптаймы уж <br>&gt; годами исчисляются...<br>&gt; Задача стоит в том чтоб плавно мигрировать на новое железо, удалив из <br>&gt; цепочек 4.7, повешав задачи на 9ку и заменить 9ку на 10.2.. <br>&gt; Как думаете, в 10.2 проблема может присутствовать? Вроде как фаервол подвергался <br>&gt; переработкам где-то между 9 и 10.2...?<br><br>Эта проблема была исправлена уже после выхода 9.0. Так что вам нужно обновляться, для того чтобы не сталкиваться с ней.<br>https://svnweb.freebsd.org/base?view=revision&revision=257389<br> https://www.opennet.me/openforum/vsluhforumID1/96354.html#2 Thu, 05 Nov 2015 03:26:14 GMT А что является причиной, не помните?<br><br>На всякий случай между флушем и добавлением вписал паузу, такой костыль, помнится, помог с багом удалений пайпов в которых могли находиться пакеты, но это еще было на фре 4.7 (к слову эта фря еще в работе :) ), на ней так же активно используются таблицы, даже более чем на "проблемной" 9ке, но залипаний нет, аптаймы уж годами исчисляются...<br><br>Задача стоит в том чтоб плавно мигрировать на новое железо, удалив из цепочек 4.7, повешав задачи на 9ку и заменить 9ку на 10.2.. Как думаете, в 10.2 проблема может присутствовать? Вроде как фаервол подвергался переработкам где-то между 9 и 10.2...? <br><br>И может есть идеи как повторить глюк?<br><br>Да, асинхронных правок таблиц нет.<br> https://www.opennet.me/openforum/vsluhforumID1/96354.html#1 Tue, 03 Nov 2015 14:03:35 GMT &gt;[оверквотинг удален]<br>&gt; сетка 123.123.123.0/24 стала попадать под это правило. Причем маршрутизатор знает её <br>&gt; в составе сети с бОльшей маской - /21, а адреса с <br>&gt; этой сети но с диапазона отличного от 123.123.123.0/24 ходят нормально.<br>&gt; На лицо странный баг фаервола. Тут собственно вопрос - как грохнуть этот <br>&gt; адрес, как убить таблицу, чё вапще делать? :) Ребут не предлагать, <br>&gt; флуш фаервола тоже.<br>&gt; Испробовали с коллегами всякие прямолинейные комбинации типа ipfw delete table 1, ipfw <br>&gt; table 1 delete ip, ipfw table 1 flush итд - ничего <br>&gt; не помогло.<br>&gt; Прошу помощи :) <br><br>старая бага с таблицами... по-моему решений так и нет... странно что проявляется на 9.0... вроде бы было пофикшено в 8-ых ветках, но видимо тут либо обновлять ядро и мир до текущего состояния... либо ребут )<br><br>