Bug très étrange dans les logs d'IPTABLE

Hello,

Je sais, c’est étrange mais si quelqu’un a une mini idée pour tenter de trouver d’où vient le problème cela m’aiderait beaucoup !
Ou même de comment lancer un espèce de debbuger pour savoir étape par étape d’où vient se log et comment/où il se corrompt.

J’ai pareil dans le syslog que dans le log iptable créer moi-même.

Le problème se passe d’explication, voyez par vous-même :
Sep 1 01:02:20 Linux kernel: <4>[1561904.026347] iptable: IN=vlan10 OUT= PHSIN=ehlFAMCd:12:90:69:e0:c1:00:0SC1.01.0 S=01.01LN4 O=x0PE=x0TL17I=55D RT=C P=16DT93WNO=68 E=x0SNUG= <4[1694023]it:I=ln1OT HSNvt4UI A=ae:4d:2d:ee:c3:72:80 R=01.121DT1.01. E=8TS00 RC00 T=2 D75 FPOOTPST18 P=9 IDW134RS00 Y RP0

Reconstitué en partie :
Sep 1 01:02:20 Linux kernel: <4>[1561904.026347] iptable: IN=vlan10 OUT= PHSIN=ehlFAMCd:12:90:69:e0:c1:00:0SC1.01.0 S=01.01LN4 O=x0PE=x0TL17I=55D RT=C P=16DT93WNO=68 E=x0SNUG=
Sep 1 01:02:22 Linux kernel: <4[1694023]it:I=ln1OT HSNvt4UI A=ae:4d:2d:ee:c3:72:80 R=01.121DT1.01. E=8TS00 RC00 T=2 D75 FPOOTPST18 P=9 IDW134RS00 Y RP0

Il me semble que le problème vient depuis que LXC a été installé mais maintenant je n’en suis pas 100% sûr …
Ce qui est encore plus étrange, c’est qu’une partie des logs n’a aucun souci et d’autres sont dans cet état là mais il y a pire des fois encore (Donc, c’est assez dur de voir ce qui est bloqué pour créer des règles de déblocage )

Si personne ne peut m’aider, où puis-je m’adresser pour trouver un peu d’aide ?

Merci d’avance !

??
bizzard ton truc, bon vu que tu file pas tes règle on peux pas savoir. il est probable qu’un paquet ne soie pas gérer par le kernel,voir carment un protocole.
sinon c est peux etre une bug , quelle version de debien et iptables tu utilise, le systeme est a jours etc ?
il faut peut etre plutôt poster sur le site d’ (" d’iptables") http://www.netfilter.org/
vala

Le disque système vient de crasher, je donne toutes les infos que j’ai dès qu’il est à nouveau UP !

Le système est à jour et tous les programmes aussi mais il me semble que cela est apparu depuis que j’ai installé LXC, je n’avais jamais vu de logs corrompus avant.
Je ne sais pas toujours d’où viennent les logs. S’ils viennent des machines sous LXC ou de la machine hote.
Le souci avec LXC, c’est que tous les logs arrivent au même endroit, j’ai déjà trouvé un site parlant de ce problème.
(Je mets le lien dès que je le retrouve)

En tout cas merci d’avoir répondu

J’ai vraiment trop de règles …

Je gère chaque port en entrée/sortie sur plusieurs VLAN et même par range IP.

• Squeeze x86_64 avec toutes les dernières mises à jour.
• iptables v1.4.8

J’ai envoyé un truc sur leur mailing list mais aucune réponse là-dessus.
Personne utilise LXC et iptables ? (C’est peut-être une fausse piste mais j’ai lu qu’il y avait de la corruption de logs sur LXC car tout est centralisé ou quelque chose comme ça. Il y avait un patch pour corriger cela mais il fallait recompiler la chose et je n’ai jamais pris le temps de tester …)

Voilà l’en-tête des modules chargés par iptables :

modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Si vraiment je trouve pas de solutions, il faut que je tente de remonter une machine virtuelle avec la même config pour voir si j’arrive à reproduire ce problème.
Mais bon, je ne mets pas ce problème en prioritaire car tout semble fonctionner. Filtrag comme forward …

Et dans le tampon de log du noyau lui-même (dmesg), c’est comment ?

Dans dmesg, je n’ai que très peu de logs : 8 entrées mais toutes sont OK.
Ensuite, j’ai un “Bridge firewalling registered” puis plus rien du tout.

J’ai contrôlé en vitesse mais les logs : kern/messages et syslog sont tous corrompus de la même façon à la même heure.

salut
re-installer syslog fichier de config compris ?
si tu utilise autre chose pour filtrer sa viens peux être de la aussi

Désolé pour le temps de réponse mais j’avais posté un message dans la mailinglist d’Iptables mais je n’ai même pas eu de réponses concernant ce problème

Cela implique quoi si je réinstalle syslog ?
Je perds juste le fichier “/etc/rsyslog.conf” ?

Il faut faire un “apt-get remove --purge rsyslog” pour le supprimer complétement ?

EDIT : Je n’utilise qu’iptables pour filtrer, je n’ai rien d’autre.

EDIT2 : Le problème doit bien provenir de LXC => mail-archive.com/lxc-users@l … 03136.html
Et voici comment le résoudre : mail-archive.com/lxc-users@l … 01272.html
(Je suis en train d’essayer de comprendre ce qu’il faut faire pour envoyer/recevoir les logs de l’autre côté.)

Bonjour,

réponse rapide, je suis tombé sur ce post en ayant (peut-être) trouvé un bug sur iptables + lxc sur noyau debian linux récent (jusqu’au 3.2 au moins). Je n’ai pas eu ma réponse ici, mais comme j’ai la réponse à ton problème, me voici :

entre un LXC HOTE et son GUEST, il n’y a qu’un seul tampon de noyau (dmesg, printk, /proc/kmsg, appelez-le comme vous voulez)

donc si tu as un rsyslog ou autre qui fait du kern.log sur le Hôte ET sur un lxc, ils se “partagent” le contenu du kern.log, d’où quelques caractères par ci, quelques caractères par là.

supprime par exemple pour rsyslog le log du noyau de tous tes LXC par exemple en commentant dans /etc/rsyslog.conf ceci :

puis en le redémarrant

et ton kern.log sera à nouveau propre sur la machine hôte.

@+

Benjamin

Hello,

Désolé pour le temps de réponse, je ne vois que maintenant la réponse !

Oui, il me semblait que c’était lié à ça, un partage des logs entre la machine hôte et les containers LXC.
J’ai commenté ce paramètre “#$ModLoad imklog” sur toutes les machines LXC et tout rebooté mais cette fois-ci sur Wheezy en 3.2 ça marche au poil, enfin !

Merci beaucoup pour ton aide
@+++