Página 1 de 1

Erro nf_conntrack: expectation table full

MensagemEnviado: Ter Jul 14, 2020 5:12 pm
por robsonzornitta
Boa Tarde galerinha.

Pra começar a conversa: Sim! Eu sei....o problema é antigo, já abordei alguns membros mais experientes do que eu no fórum, mas infelizmente não encontrei uma solução prática para este maldito problema.

Bom. Testei com as versões .260, .261 PAE e .262 x64. Devo esclarecer que não consegui usar por muito tempo a versão x64, e olha que tentei e insisti nesta versão, mas SEMPRE acabo voltando para a x32 PAE, funciona muito bem pra mim. O que acontece sempre na x64 é que a internet para de navegar do nada, reinicio e em 3 ou 4 dias no máximo ela para de novo, acabo sempre formatando a máquina e instalando a x32 PAE.

Recentemente tenho procurado no fórum por algum desenrolar sobre o problema e achei um post do Lenobare com alguns comandos iptables para tentar contornar o erro, testei os comandos em todas as versões citadas, inclusive na x64 e o erro vem se repetindo, realmente não sei o que fazer, gostaria de uma luz dos amigos pq eu mesmo já estou largando a toalha.

Meu cenário é 3 empresas diferentes com mais ou menos 100 usuários e todas elas infelizmente com No-IP DDNS configurado, digo infelizmente pq gostaria muito de colocar ip fixo mas aqui no Paraná é MUITO caro ip fixo e dedicado, então as empresas nunca optam por isso, sou obrigado a pegar um link de 300MB da Vivo ou Copel Telecom que são dinâmicos e colocar ddns, não tendo a possibilidade de retira-los, infelizmente.

O comando que testei descrito pelo Lenobare é:

Código: Selecionar todos
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP


Sendo que na terceira linha onde tem o -i ethx eu coloco a Lan e não a Wan.

Desde já peço desculpas por abordar este problema e ao mesmo tempo ajuda para tentar resolve-lo. Muito Obrigado Pessoal!

Re: Erro nf_conntrack: expectation table full

MensagemEnviado: Dom Jul 19, 2020 12:09 pm
por Lenobare
Ajude-nos a Ajudá-lo,
https://www.brazilfw.com.br/forum/viewtopic.php?f=3&t=92230&view=unread#p334444
Além disso, não tem nada no BFW BOX isso realmente me incomoda quando se pede ajuda e nem sei que hardware/servi;os a pessoa tem.
Como expliquei no tópico:
https://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=93544
possivelmente seja ataque DDOS e afins e dei umas dicas para saber onde isso pode estar acontecendo.
Como disse, precisamos saber como trabalha para ajudar a otimizar seu trabalho.

Re: Erro nf_conntrack: expectation table full

MensagemEnviado: Dom Jul 19, 2020 3:35 pm
por robsonzornitta
Lenobare, boa tarde, em primeor lugar, muito obrigado por responder, aí vai o arquivos do servidor principal, o que mais dá esta mensagem de erro:

Não uso nenhum addon, sem squid, sem restrição de nada, instalação limpinha, apenas com mascarade e só.

Código: Selecionar todos
Nome da Máquina:
ServidorNet
CPU:
Intel(R) Xeon(R) CPU E5504 @ 2.00GHz
Memória:
5.93 GiB
Versão do Firewall:
3.0.260
Kernel:
3.10.0-pae
Iptables:
1.4.18
PHP:
5.3.5
Compilado em:
2014-08-24 16:56:24
Data / Hora:
2020-07-19 15:34:21
Tempo de Atividade:
8 Dia(s) 04:51:49


brazilfw.cfg:
Código: Selecionar todos
WEBADMIN_PORT='1313'
SSH_PORT='53000'
ADMIN_AUTH='xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'
DNSSERVER='yes'
HOSTNAME='ServidorNet'
DNS1='8.8.8.8'
DNS2='8.8.4.4'
PERSIST_LOG='no'
PARTITION=''
TIME_ZONE='America/Sao_Paulo'
CACHE_DISK='no'
USE_QOS='no'
DHCP_SERVER='yes'
DHCP_DEFAULT_LEASE='7200'
DHCP_DNS1='192.168.1.235'
DHCP_DNS2='192.168.1.210'
IPUPDATE='no'
IPUPDATE_REFRESH='600'
USE_MAC_CONTROL='no'
CERTIFICATE_ISSUED_TO=''
EXTERNAL_PING='yes'
ENABLE_MYSQL='no'
ARP_SCAN_RETRY='1'
ARP_SCAN_TIMEOUT='250'
KEYBOARD='br-abnt2'
DNSFREECHOICE='yes'
USE_RESTRICTION_FILE='no'
SHOW_LINK_USAGE='no'
DMZ=''
ADDON_EXPERIMENTAL='no'
DISTRO_EXPERIMENTAL='no'
WPAD='no'
ACPID='yes'


cron.cfg:
Código: Selecionar todos
0 0 * * * /etc/rc.d/rc.time >/dev/null 2>&1


hosts.cfg: '''vazio''''

qos.cfg: '''vazio'''

restriction.cfg e reserve.cfg: '''vazio''''

rc.local dentro da pasta custom:
Código: Selecionar todos
#Resolve Problema do Router Monitor
chmod 777 /etc/brazilfw/custom/route-monitor
rm /usr/local/sbin/route-monitor
cp /etc/brazilfw/custom/route-monitor /usr/local/sbin/
/etc/rc.d/rc.inet
/etc/rc.d/rc.route
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP


Interfaces físicas:

internet:
Código: Selecionar todos
INTERFACE_TYPE="cabled"
INTERFACE_PHYSICAL="eth0"


local:
Código: Selecionar todos
INTERFACE_TYPE="cabled"
INTERFACE_PHYSICAL="eth1"


Interfaces lógicas:

internet:
Código: Selecionar todos
LINK_TYPE='static'
LINK_CONNECTION='internet'
LINK_ALIAS='internet'
LINK_IP='192.168.15.10'
LINK_NETMASK='255.255.255.0'
LINK_GATEWAY='192.168.15.1'
LINK_WEIGHT='1'
LINK_UPSTREAM='153600'
LINK_DOWNSTREAM='307200'
LINK_MTU='1500'
LINK_LOADBALANCE='yes'
LINK_PERSISTENT='yes'
LINK_ADDITIONAL_IP=''
LINK_NAT='yes'


local:
Código: Selecionar todos
LINK_ALIAS="local"
LINK_CONNECTION="local"
LINK_TYPE="static"
LINK_IP="192.168.1.210"
LINK_NETMASK="255.255.255.0"

Re: Erro nf_conntrack: expectation table full

MensagemEnviado: Seg Jul 20, 2020 11:09 pm
por Lenobare
Pergunta 01:
O processador Xeon E5504 com socket FCLGA1366 e DDR3 800 aceita arquitetura x64, portanto porquê usar Kernel 3.10.0 PAE e BFW 3.0.360?? (são apenas dúvidas ok)
Pergunta 02:
O quê o script " route-monitor " faz? Tipo verificar a tabela de roteamento?
Pergunta 03:
Seu ssh ( porta 22 se não alterou) está ligada?

Como disse, preciso saber como pensa na forma de trabalhar pra achar o possível problema.

Re: Erro nf_conntrack: expectation table full

MensagemEnviado: Ter Jul 21, 2020 10:06 am
por robsonzornitta
Pergunta 1) Sim ele aceita arquitetura x64 perfeitamente, o problema é que nquando coloco o .262 x64 pra rodar não sei o que acontece mas, em 3 ou quatro dias a internet simplesmente para de funcionar, aí tenho que ficar reiniciando o servidor por causa disto, já na versão PAE .260 e .261 não ocorre. Decidi deixar a PAE de vez, depois disto são raras as vezes que o servidor trava e deixa o pessoal sem internet.

Pergunta 2) A função do route-monitor é por causa dos ips de ping do watchdog, foi uma alternativa que eu fiz pra trocar os ips de ping da embratel que vem padrão configurado no router-monitor, e funciona muito bem inclusive, não sei se a configuração de IPS='x.x.x.x' colocado no arquivo brazilfw.cfg funciona com as versões mais antigas do PAE, então, resolvi criar um método sem falhas pra isso.

Pergunta 3) É padrão no meu entendimento que as portas padrões de acesso sejam trocadas, por isso SEMPRE troco as padrões do WebAdmin e do SSH pra outras portas, sim o sshd está ativo, APENAS para a rede interna, deixei bloqueado o acesso externo por motivos óbvios de ataques.

Obrigado mais uma vez pela ajuda Lenobare!