Bug #1719
limites d'états de pf trop faibles
0%
Description
(via Cyril Ghesquiere / Paris 8)
Depuis le mise à jour d'univnautes en juillet nous rencontrons un
problème de limites d'états de pf qui nous bloquent les connexions
entrantes au delà. En effet la configuration de pfsense fixe par défaut
la limite à 198000 mais si l'on vérifie :
# pfctl -sm
on obtient les valeurs par défaut donc 10000 pour states.
Comme nous n'avons appliqué la nouvelle version qu'en juillet, la limite
n'a de fait été atteinte que depuis la rentrée cette semaine.
En fouillant un peu la manière dont sont générées les règles, on trouve
dans /etc/inc/filter.inc la référence aux fichiers /tmp/rules.limits et
leur chargement via pfctl :
@file_put_contents("{$g['tmp_path']}/rules.limits",$limitrules);
mwexec("/sbin/pfctl -O -f {$g['tmp_path']}/rules.limits");
Le fichier /tmp/rules.limits est correctement rempli et si on exécute à
la main le pfctl les options sont bien chargées mais visiblement il y a
un problème dans l'exécution automatique que nous n'avions pas avec la
version précédentes (en mars nous avions facielement atteint les 30000
états.
Demandes liées
Historique
Mis à jour par Thomas Noël il y a plus de 11 ans
Je viens de trouver. C'est un bogue connu dans pfSense 2.0... qui n'est
corrigé que dans la version 2.1 (qui n'est pas encore sortie !). Surprenant.
La correction du bogue pour la future 2.1 :
https://github.com/bsdperimeter/pfsense/commit/27746f772b13ace923441371d9ee447c20df2fda
... et ma demande pour que cette correction soit apportée dans la 2.0
(version stable de pfSense qui sert de base à UnivNautes) en bas de :
https://github.com/bsdperimeter/pfsense/commit/5c8558097a9ec9498d175325a66a6b942c9b12b1
Mis à jour par Thomas Noël il y a plus de 11 ans
... et voilà, le patch est dans la v2.0 de pfSense:
https://github.com/bsdperimeter/pfsense/commit/a9f0df69647bcf607e08aff82556ba9f04624f2d
Reste juste à générer une nouvelle image d'Univnautes...