Too much memory for a single process

you probably need to reduce your log sizes..search the forums for broadcast and netbios to stop logging those..they should take care of this problem..[:)] 

you probably need to reduce your log sizes..search the forums for broadcast and netbios to stop logging those..they should take care of this problem..[:)] 

Yes, I think you are on to something here. I just checked my logs, and since I removed the Linksys router, which stopped the outside scans of my ISP assigned IP address from reaching the External interface on my ASL box, my kernel log file size have increased from an average of 100 KB per day to more than 1.6 MB per day.  And the CPU utilization is pinned at 100% from around 12:09 am to 12:30 am while it is processing the log.

Does this mean that I ought to put my Linksys router back in place, to protect the ASL box from all these hits?

According to my logs, the outside world will scan my IP address around 20 to 30 times per hour. Mostly for open ports on 137, 139 or 445.  Viruses or script kiddies, I suspect.

Does anyone have an elegant solution to this, other than putting my Linksys router back in place in front of the ASL box?

I am puzzled by the "Too much memory" message. My ASL box runs with 128 MB RAM, of which it uses 101 MB.

  

The filter rules to drop ports 135, 137, 139 and 445  were already in place  on the ASL box before this problem started. That does not seem to help in terms of keeping the kernel log size down. It appears that the dropped packets are still being logged.

I have these filter rules in place (among others):

Any   Any   Broadcast32   Drop 
Any     { netbios }              Any       Drop
Any     { Microsoft-SQL }   Any       Drop
Any     Microsoft-SMB        Any       Drop 

   

 your format will not work that way..found out through many digs through the forums and some very helpful answers..try this format..has killed all of my broadcasts...my logs are not that huge..you msut be getting attacked or scanned muchly..may want to investigate:
Any   { netbios }   Dsl_Interface__   Drop     edit   del   move
2  Any  { netbios }  Internal_Broadcast__  Drop  edit  del  move
3  Any  { netbios }  Internal_Network__  Drop  edit  del  move

 

I have made the change to my filter rules that you suggested.

I then watched the live packet filter log for a while, and discovered that the bulk of packets being dropped and logged by the kernel were 137 (netbios-ns) packets from Windows XP machines on the Internal network. These packets were addressed to the Internal_Interface, which is their default router. Your filtering rules did not prevent these packets from being logged as they were dropped.  This gave me the idea of adding an additional netbios filter line, as shown below:

Any   { netbios }   Internal_Interface__   Drop

When that line was added and turned on, I got a dramatic reduction in the amount of kernel logging of dropped packets.


    

interesting..i have nothing showing here on my logs with 3 2k machines and one 98 machine and one samba server..however will add it to my list..thanks for the heads up..[:)]