Pessoal,
Estou �s voltas com um problema que ainda n�o tinha visto.
Uma m�quina que est� fazendo firewall(iptables)/NAT/QoS, simplesmente
morreu. Descri��o do caso:
-M�quina "congelou". N�o tinha nada no v�deo, teclado n�o
respondia, roteamento/filtros/NAT pararam. M�quina n�o "resetou".
Reiniciada, voltou a funcionar normalmente.
Usa:
Slackware 8.1 - ISO vinda de ftp.slackware.at (mirror) com MD5
conferido com o ftp.slackware.com
iptables 1.2.7a - do site oficial, com md5 checado. compilado na
pr�pria m�quina
Kernel 2.4.20, sem patchs, vindo de www.kernel.org, com assinatura
checada. Compilado na m�quina.
HTB - original do kernel usando iproute2 com o patch feito pelo autor
do HTB3. pacote do iproute2 compilado na m�quina. Vindo do site
oficial.
HD IDE �nico, usando parti��o �nica com ext3. Sem erros na formata��o
com mke2fs -c.
Instala��o m�nima. Sem interface gr�fica.
Espa�o em disco suficiente (19% de uso).
Nenhuma porta aberta. Os daemons que estavam rodando, al�m dos
normais do kernel, eram apenas syslogd,klogd,agetty. Iniciei o crond
ap�s o problema para fazer um registro a cada 5 min.
Filtros de pacotes usando RELATED,ESTABLISHED para conex�es entrando
na rede interna. Al�m de outros filtros e bloqueios de portas"comuns".
OUTPUT e INPUT LOG e DROP por padr�o.
Nenhum sinal de problemas com o hardware.
Ventilador de fonte e de processador rodando normalmente.
A temperatura da salinha "parecia" quente. N�o tem condicionador de
ar. No entanto havia ali mais dois servidores com W2K, rodando sem
problemas.
M�quina ligada a no-break.
Hardware:
Pentium 233 MMX
HD ST33232A IDE
48 MB RAM
2 NICs BenQ PCI- Chipset 8139cp - driver 8139too - compilado built
in.
Bem, algumas checagens ainda vou fazer na m�quina na pr�xima
segunda-feira mas, levando-se em conta que n�o existe porta "ouvindo"
na mesma, creio ser improv�vel um comprometimento desta.
Chequei o md5 do ps e do netstat com os de minha m�quina com
Slackware 8.1 e bateram. Estes dois aplicativos n�o mostraram nada
"suspeito".
O �nico indicativo que achei, de um poss�vel problema foi uma
mensagem no syslog indicando:
eth1: Too much work at interrupt, IntrStatux=0x0001.
Esta mensagem n�o est� aparecendo com frequ�ncia n�o. No dia em que
"morreu" apareceu apenas uma vez. No entanto j� havia aparecido em
dias anteriores (/var/log/syslog). Mas ainda assim, uma ou outra
ocorr�ncia.
Esta interface � a que est� ligada na rede interna. A eth0 vai ligada
no roteador.
Coincidentemente notei que a �ltima linha do /var/log/messages, para
onde v�o os logs do iptables, tem a mesma hora da linha em que esta
mensagem acima aparece no /var/log/syslog.
Notei tamb�m, e provavelmente vou desabilitar, uma quantidade
estrondosa de logs de "martian source" tamb�m nesta interface.
O link do cliente � de 128Kbps, ou seja, pequeno o tr�fego. No
entanto, o que tem de broadcast (137:139) no /var/log/messages �
assustador. :-)
Bem, j� procurei na net por ocorr�ncias desta mensagem. Achei muita
coisa, mas nenhuma que me pareceu conclusiva. Havia apenas uma em que
algu�m pedia socorro dizendo que este problema ocorrera da mesma
forma, nas mesmas circunst�ncias.
Assim, me desculpem pelo "e-mail" grande mas, procurei passar o maior
n�mero de detalhes poss�vel. Espero n�o ter esquecido nada.
Agrade�o se algu�m puder me ajudar a elucidar o caso.
Obrigado pela aten��o.
[]s
Freitas
Assinantes em 24/01/2003: 2227
Mensagens recebidas desde 07/01/1999: 198588
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
