Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 10929 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.102] nf_queue (0): full at 1024 entries, dropping packets(s)

Joffer
Since a month or two ago I've been getting a strange behavior from my Astaro. Once in a while it just starts to beep, constantly. And it happened again just now. I did a little digging and I found lots of this in the kernel log: 

2011:04:10-21:18:41 joffer kernel: [2430961.628342] nf_queue (0): full at 1024 entries, dropping packets(s). Dropped: 42524

2011:04:10-21:18:41 joffer kernel: [2430961.628467] nf_queue (0): full at 1024 entries, dropping packets(s). Dropped: 42525

2011:04:10-21:18:41 joffer kernel: [2430961.628524] nf_queue (0): full at 1024 entries, dropping packets(s). Dropped: 42526

2011:04:10-21:18:41 joffer kernel: [2430961.628585] nf_queue (0): full at 1024 entries, dropping packets(s). Dropped: 42527

2011:04:10-21:18:49 joffer kernel: [2430970.406068] __ratelimit: 35 callbacks suppressed


Disabling and enabling a packet rule seemed to fix it for a minute or so before it came back. A restart didn't seem to fix it at all either, but a shutdown and a following startup a few minutes later did.

Should I increase the nf_queue or something (and how?)?
The CPU also tended to go up to max more or less (95-99%). Astaro Hardware info is in my signature.


This thread was automatically locked due to age.
  • 0
    According to previous posts

    "The nf_queue is a mechanism to send network packets from kernel land to user space for further checking. While doing so, it leaves the original packet in the kernel memory space, creates a copy and sends that one to userspace applications like IPS or IMP2P.

    The userspace apps than analyze it and send back a verdict OK or DROP and the kernel does that.
    Now if the userspace process is not fast enough to process these packets in time, the queue inside the kernel grows. This can lead to a kind of traffic jam for all network packets.

    In order to prevent that, we have a mechanism to handle accordingly if the queue is bigger than x packets. For IPS we drop the packet, for IMP2P we pass the packets."

    Are you using IPS or/and IM/P2P? Can you remember what changed about a month ago? Try disabling IPS to see if your problem is still ongoing
  • 0
    Yes I have IPS and IMP2P active. The beeps from the firewall silenced a few seconds after I disabled the IPS.
    So my Intel Atom 330 just isn't fast enough for my Home Network (50/10Mbps)?
  • 0
    How much RAM do you have and what is the top output?

    Try enabling IPS but only use what's needed(if you don't have servers don't user the relevant patterns )
  • 0
    The box has 2 GB of RAM (saw my signature didn't say so, so I've updated it).
    The RAM amount in use seems to hover around 45% in the dashboard.
    Have activated the IPS again, but disabled Anti-Portscanning, so I'll keep an eye on the box (or listen for beeps..).

    I've also found the Anti-Portscanning to drop lots of bittorrent traffic... had an exception for that with my main computer as source/destination. But this is disabled all together now.
  • 0
    The beeps (and full nf_queues) appeared again today. I disabled IPS and saw this in the IPS log:
    2011:04:22-15:05:00 joffer snort[5344]: Could not remove pid file /var/run//snort_inline_1.pid: Permission denied