iptables meldet auf Deinem V-Server den Fehler:
iptables: Memory allocation problem
Hat Du zufällig fail2ban auf Deinem Server laufen?
Dieser erzeugt je nach Konfiguration manchmal sehr viele Einträge in der iptables.
Ich hatte mich bis heute schon häufiger gefragt, ob iptables in der Grösse begrenzt wäre
und Ja! Auf den V-Servern von Strato sind die iptables – in der Tat begrenzt.
Ein Überschreiten der iptables Grösse löst dann den Fehler oben aus.
Das schlimme daran: fail2ban funktioniert dann nicht mehr!
Denn ist die Grenze erreicht, dann kann fail2ban keine weiteren IP mehr bannen.
Oft bekommt man die Fehlermeldungen dann auch gar nicht mit..
Wo steht diese Grenze bei einem V-Server ?
Gib folgenden Befehl auf der Kommandozeile ein:
#cat /proc/user_beancounters
zeigt die Variablen des Servers, hier ist der Eintrag numiptent wichtig, in der letzte Zeile!
Diese letzte Variable: numiptent ist hier die Auschlaggebende für iptables und gibt die Anzahl und das
Limit von iptables wieder. Sie zeigt rechts (limit) das Limit an und links (held) die gerade verwendete Anzahl
Einträge in iptables.
Hier war das Limit also bei 2000 und verwendet sind davon 1285, fail2ban funktioniert noch!
Laut Strato kann man die Variable numiptent nicht vergrössern und somit hatte ich einen sehr grossen
Nachteil der V-Server entdeckt, denn dadurch werden die Sperren durch fail2ban und auch die
eigenen sehr begrenzt!
Beispiel eines anderen Servers: Dort habe ich 12.000 Zeilen iptables in der Firewall stehen.
bei einem V-Server völlig unmöglich, ausgeschlossen durch Strato.
Aber selbst ein Wert von 2000 ist schon für einen V-Server sehr viel, oft haben sie erheblich weniger!
Sogar unter 500 !
Was kann man dann machen ?
Es besteht die Möglichkeit ip-ranges (Bereiche) in der Firewall einzutragen, um so grosse Anzahlen von
Rechnern in einer einzigen Zeile von iptables zu sperren.
Lies dazu diesen Tipp hier: IP Bereiche sperren
Schau in den unteren Teil, dort zeige ich, wie Du ganze Bereiche sperren kannst.
In meinem Fall kamen viele Angriffe aus dem Ausland.
Da die Seiten deutschsprachig sind, gehe ich erst einmal davon aus, das diese kaum vom Ausland gelesen werden.
Laut den Logfiles kamen aber die meisten Angriffe aus bestimmten Ländern aus dem Osteuropäischen Bereich Asien und Russland
Mit Hilfe der Bereichssperrung kann man mit wenigen Einträgen in der iptables viele Angriffe prophylaktisch unterbinden.
fail2ban braucht dann nicht mehr so viele Einträge zu sperren, ja nach Angriffsaufkommen.
Vor allem heimische Angriffe aus dem eigenen Land sollte der fail2ban dafür sorgen diese zumindest für eine Zeit zu sperren.
Die Bereichssperrungen sind dagegen dauerhaft!
Wenn Dir mein Tipp gefallen oder Dir geholfen hat,
würde ich mich über einen Kommentar sehr freuen.
Views: 387
2 Gedanken zu „iptables: Memory allocation problem – numiptent“
Hallo,
ich nutze banaction = route mit fail2ban. Damit wird die IP auf Kernelebene geblockt – (route is a command that displays, adds and deletes entries from the kernel’s TCP/IP routing table (aka “Forwarding Information Base”).
Die IP wird dann nicht in die iptables geschrieben. Nachteil: Die IP wird für alle Ports gesperrt.
Eine gute Erklärung dazu gibt es hier https://wiki.ubuntuusers.de/fail2ban/ unter der Überschrift „Bannen mit ip route“. Dort wird übrigens fail2ban allgemein verständlich erklärt.