[Erledigt] Fehlermeldung: Neighbour table overflow

[chrisliebaer]

Hallo alle zusammen,

Kurz zum System: Es handelt sich um einen Server, welcher 2 Netzwerkarten hat, wobei eth0 am LAN und eth1 im Internet (Kabel-BW, IP kommt über DHCP) hängt.

Nach der neuinstallation meines Systems steht aufeinmal im Syslog die ganze zeit nur das hier:

Code: Alles auswählen

Neighbour table overflow.

Jetzt habe ich ein bisschen gegoogelt und festgestellt, dass viele das Problem lösgen konnten, indem sie das loopback Interface aktiviert haben, jedoch ist dies bei mir schon aktiv.

Code: Alles auswählen

root@server:~# ifconfig -a
eth0      Link encap:Ethernet  Hardware Adresse 00:15:58:11:59:b8
          inet Adresse:10.0.0.1  Bcast:10.255.255.255  Maske:255.0.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:17841 errors:0 dropped:0 overruns:0 frame:0
          TX packets:47095 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:6809970 (6.4 MiB)  TX bytes:66981447 (63.8 MiB)
          Interrupt:23 Basisadresse:0x8000

eth1      Link encap:Ethernet  Hardware Adresse 5c:d9:98:56:ec:f9
          inet Adresse:109.193.xx.xx  Bcast:109.193.71.255  Maske:255.255.252.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:65074 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17425 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:67822294 (64.6 MiB)  TX bytes:6698814 (6.3 MiB)
          Interrupt:17 Basisadresse:0x8000

lo        Link encap:Lokale Schleife
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metrik:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:560 (560.0 B)  TX bytes:560 (560.0 B)

Code: Alles auswählen

/etc/network/interface
# The loopback network interface
auto lo
iface lo inet loopback

# Local LAN
allow-hotplug eth0
iface eth0 inet static
    address 10.0.0.1
    netmask 255.0.0.0


#Internet Connection
allow-hotplug eth1
iface eth1 inet dhcp

Außerdem ist auch meine ARP Tabelle nicht voll, was mir diese Fehlermeldung ja eigentlich sagen will:

Code: Alles auswählen

root@server:~# arp -n
Address                  HWtype  HWaddress           Flags Mask            Iface
10.0.10.10               ether   00:12:7b:53:df:be   C                     eth0
109.193.68.1             ether   00:01:5c:23:9c:81   C                     eth1
10.0.10.1                ether   00:24:8c:8f:e7:57   C                     eth0

Die Meldungen hörten auf, sobald ich eth1 (Internet) abschalte. Ich habe mit tcpdump mal ein bisschen mitgelogt, was da so alles in WAN abgeht. Ein kleiner Ausschnitt folgt hier: 35614

Das sind jede menge ARP-Requests, da aber weder meiner ARP Tabelle wächst, noch ARP-Responses kommen, kann ich mir einfach nicht erklären, warum es mir den Kernel zuhaut. Ich habe auch schon den ARP Cache auf auf über 1000 erhöht, aber nach einer Weile ist dann auch das voll. Ich habe das System sogar nochmal installiert und war dann am Anfang erstmal Fehlerfrei, kurz darauf habe ich dnsmasq installiert und es ging wieder los, da aber auch eine Deinstallation selbigen das Problem nicht löste gehe ich davon aus, dass ich einfach nicht langegung gewartet habe.

Ich bin jetzt echt am Ende, mir fällt einfach nicht ein, wieso ich diesen Fehler bekomme. Falls noch weitere Informationen notwending sind -> einfach Fragen.

[KBDCALLS]

Poste mal folgendes.

Code: Alles auswählen

sysctl  -a |grep net.ipv4.neigh.default.gc_thresh

[chrisliebaer]

Mommentan

Code: Alles auswählen

net.ipv4.neigh.default.gc_thresh1 = 512
net.ipv4.neigh.default.gc_thresh2 = 2048
net.ipv4.neigh.default.gc_thresh3 = 4096

Wobei ich das auch schon um das 3 fache erhöht habe, es dauerte dann nur länger bis er voll war. Ich hab das außerdem nun in den Griff bekommen. Ich filter mit arptables alles raus was nicht an mich gerichtet ist, seit dem haben die Meldungen aufgehört. Aber ich versteh das trozdem nicht, ein ARP-REQUEST erzeugt doch keine einträge in der arptabelle und selbst wenn, warum seh ich die dann nicht?

Grüße
Chris

[KBDCALLS]

Das Problem tritt bei sehr großen Netzwerken auf auch mit Kabelmodems.
In diesem Blogeintrag sind die Werte noch wesentlich höher gesetzt worden . Zusäzlich noch zwei andere.

Code: Alles auswählen

 net.ipv4.neigh.default.gc_thresh1 = 4096
 net.ipv4.neigh.default.gc_thresh2 = 8192
 net.ipv4.neigh.default.gc_thresh3 = 8192
 net.ipv4.neigh.default.base_reachable_time = 86400
 net.ipv4.neigh.default.gc_stale_time = 86400

• http://www.serveradminblog.com/2011/02/ ... f-tunning/

[chrisliebaer]

Danke für den Link, den hatte ich bisher noch nicht gefunden.

Ok, dann scheint es sich hier zumindest nicht um eine Fehlkonfiguration zu handeln, sondern es liegt wirklich an diesen tausenden ARP Anfragen. Soweit ich das seh ist das aber das 10.0.0.0/8 Subnetz, das da Broadcastet, daher werde ich wohl weiterhin einfach die Pakete filtern, dann frisst auch der Kernel nicht soviel speicher. Danke für deine Hilfe.

Edit: Für eventuelle Googler, hier noch fix mein Filter in den ARP Tables:

Code: Alles auswählen

arptables -A INPUT -i eth1 --destination-mac ! 5c:d9:98:56:ec:f9 --opcode 1 -j DROP

wobei 5c:d9:98:56:ec:f9 die MAC addresse meines externen Interfaces ist und eth1 das externe Interface. Wichtig ist, dass das externe Interface angegeben wird, sonst kommen auch keine ARP-REQUESTS mehr auf anderen Interfaces an, da diese eine andere MAC haben.

Gruß
Chris